PDCA+モニタリングを1年で回す

社員35万人、子会社900社の日立グループは内部統制をこう整備した

2007/01/17

 連結従業員数が約35万人、連結子会社が932社(うち海外子会社が456社)という日立製作所グループが内部統制の整備を始めたのは2004年だった。日立製作所が米国ニューヨーク証券取引所に上場しているため、米国SOX法への対応が求められたのだ。日立製作所の監査室 内部統制グループ 上席監査部長で、同社の内部統制プロジェクトを主導する宮永義夫氏はグループ各社のトップのコミットメントを得ることに苦労したといい、「内部統制ができない会社は要らない会社だとまでいって進めた」と振り返った。

PDCA+モニタリングのサイクルで運用

hitachi01.jpg 日立製作所の監査室 内部統制グループ 上席監査部長 宮永義夫氏

 宮永氏は1月17日の「日立 内部統制総合展 2007」で講演した。日立の内部統制プロジェクトの中心にすえたのは「PDCA+Mサイクル」だ。Plan、Do、Check、Actionの通常のサイクルに、モニタリング(監査)を加えた考えで、1年でこのサイクルを回すという。

 2004年、最初に取り組んだのはPlanで、グループ内での対象企業や整備レベルを設定した。内部統制の整備レベルはABCDの4段階に設定。グループ内で連結財務諸表の主要な勘定科目をカバーする上位90%のグループ会社はレベルAとして、全体統制と財務にかかわるすべての重要な業務プロセスを統制の対象にした。その数は180社でうち海外子会社は50社だった。そのほかの会社については個別の事業内容に基づきリスクを評価し、全般統制と特定の業務プロセスを対象にするレベルB、全体統制を中心とするレベルC、自己問診表による整備を行うレベルDに分類した。Bは20社、Cが50社、Dが700社だった。

 全体統制はCOSOフレームワーク、IT全体統制についてはCOBITを採用し、制度や規則が整備され、守られているかをグループ各社ごとに調べるチェックリストを作成した。まずは日立本体でチェックリストを作成。その後にグループ各社に展開し、必要な場合はカスタマイズした。不備があれば改善を促し、テストも行って確認した。

フローチャート、RCMを作成

 また、業務プロセス統制については業務プロセスごとにフローチャートを作成し、リスクとコントロール(統制)の関係を示す「リスクコントロールマトリクス」(RCM)を作成した。宮永氏は「どの程度まで文書化すればいいのか苦労した」と振り返り、「取引の開始、承認、記録、処理、報告について外部に説明できる範囲まで文書化することが基本だろう」と説明した。宮永氏は「文書化は初めての作業でグループ各社に分かってもらうのに苦労した。文書化の作業を進めるためにツールを開発し、説明会をたびたび開いた。このツールが日立のノウハウになっている」と話した。

 Doは内部統制の運用。宮永氏は「運用を支えるのは教育」と指摘し、日立が幹部研修やテキスト、eラーニングを行っていることを説明した。グローバル展開する日立だけに、これらの研修教材は日本語、英語、中国語で作成。幹部向けのテキストは900社あまりに配布し、ハンドブックも5万部作った。eラーニングは15万人が受講する予定だという。

4段階で内部統制を評価

 Checkは内部統制がきちんと機能しているかのテストと評価のフェイズ。グループ内の階層別に4段階で行う。グループ各社のプロセスごとにテストを行って、その結果をプロセス責任者が承認するプロセスレベルごとの評価と、各社の社長が承認する会社ごとの評価、そして複数の企業が集まるグループごとの評価、日立グループ全体の評価の4段階だ。

 プロセスレベルから日立グループ全体まで評価の報告書が持ち上がっていく仕組みで、「一番最初の不備を日立本体まで上げる」(宮永氏)。日立は10万件のコントロール項目を設定しているが、2006年度はうち4万件の主要コントロールについてテストするという。Checkで見つかったエラーや不備はActionのフェイズで改善する。改善後に再テストを行って有効性を評価する。

 モニタリングはPDCAの各サイクルに関する内部、外部監査のフェイズだ。各社が行った内部統制の評価結果やテスト結果、運用状況などについてチェックする。現在は外部監査人によって監査を受けている状態。宮永氏は「内部統制を形骸化させないために常にモニタリング(監査)が必要」と指摘した。

プロセス標準化に注力

 2007年度は日本版SOX法への対応を進める。しかし、「日本版SOX法は評価範囲や評価方法などがかなり明確化されていて、ほぼ米国SOX法の要求範囲内」(宮永氏)として、米国SOX法の経験を活かして、効率的な整備を進める考えだ。

 今後、日立グループとして注力するのは、グループ各社のプロセスの標準化とシェアードサービス化。グループ各社には共通化可能な100のサブプロセスがあり、標準化したり、シェアードサービスにすることで効率化が期待できるという。宮永氏は企業が内部統制整備を進めるポイントとして、PDCA+Mのサイクルを業務に定着させること、トップのコミットメントの確保、企業価値向上の契機になると認識することを挙げた。

関連リンク

関連記事

(@IT 垣内郁栄)

情報をお寄せください:



最新記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
@IT