日本版SOX法にビクビクしないために、牧野弁護士が助言

2006/1/14

 「内部統制システムが一人歩きすると危険。企業はまず何をやるべきかを明確にすべきだ」。弁護士の牧野二郎氏は1月13日に開催された「コンプライアンスサミット2006」(特別協賛:日立システムアンドサービス)でこう述べた。2005年4月に完全施行された個人情報保護法では、過剰反応で個人情報の利用を一切取りやめる企業が続出。ビジネスへの悪影響が心配された。牧野氏は個人情報保護法の経験を踏まえて、「企業は内部統制構築の計画を立てて順番にやっていけばビクビクすることはない」と過剰反応に注意を呼びかけた。

牧野総合法律事務所弁護士法人の弁護士 牧野二郎氏

 内部統制の強化というと2008年3月期にも導入されると見られる日本版企業改革法(日本版SOX法)ばかりが注目される。しかし、牧野氏は「日本版SOX法への対応だけでは大きな間違い」という。新会社法が今年5月も施行されるとみられるからだ。新会社法では内部統制システムの構築を企業に対して求めている。日本版SOX法が財務報告に関する内部統制の構築を要求するのに対して、新会社法は企業業務の適正性確保を求めるといえる。企業は日本版SOX法だけでなく、新会社法も意識して内部統制を構築する必要がある。

 牧野氏は「内部統制システムを一発で構築できることはあり得ない。あまり過剰に反応せずに何段階かに分けて対応すべきだ。まずは第一弾として新会社法に対応する手もある」とアドバイスした。

 内部統制はCOSOフレームワークがベースになっているが、牧野氏によると「業務効率化」「法令遵守」「財務信頼性」が3本柱になる。この3本柱と、外部に公開する「内部統制ポリシー」「セキュリティポリシー」「プライバシーポリシー」などが完全に一致するかが問われる。つまり「内部統制」と、ディスクロージャー制度などによる「外部統制」を同期させることが企業の信頼性を高めるという考えだ。

 企業が内部統制システムを構築する場合、ポイントになるのは「業務改善と業務の透明化」であると牧野氏は述べた。企業のビジネスプロセスには担当者の経験や勘に頼ったブラックボックスのフローがある場合が多い。内部統制の観点ではこのブラックボックスがリスクになる。担当者以外はフローの内容を点検できず、不正があっても分かりづらい。

 牧野氏は「内部統制システムとはこの経験と勘に頼ったビジネスプロセスを図式化し、文書化して、その推移が見えるようにすることだ」と説明する。フローを透明化することで監視や代替が可能になり、効率性も上がるという。「個人情報保護法が施行された後も情報漏えいが絶えないのは業務改善をしていないから。内部統制でもIT化の前に業務の可視化、効率化を図るべきだ」(牧野氏)

(@IT 垣内郁栄)

[関連リンク]
日立システムアンドサービス
牧野総合法律事務所弁護士法人
手早く分かる「日本版SOX法ポータル」開設

[関連記事]
ガートナーが語る日本版SOX法とIT部門の心得 (@ITNews)
「コンサルタントの取り合いに」、日本版SOX法これだけの不安 (@ITNews)
SOX法で心配、ユーザー環境が内部統制を見えなくする (@ITNews)
2009年の日本版SOX法への対応費用は7000億円 (@ITNews)
日本版SOX法施行は経営を見直す良いチャンス? (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)