内部統制のITによる対応とは

対象となるのは、上場企業です。しかし、株式を公開していないから対応は必要ないと思うのは早計です。これから公開しようと準備している企業は、公開する前に対応を終えておく必要があると思われます。

発想を変えましょう。

「株式公開をしているから日本版SOX法に対応しなければならない」

という考え方から、

「日本版SOX法対策を行っているから株式公開ができる」

というように。

また、親会社が上場しているのであれば、グループ間取引などを絡めて、対応しなければなりません。親会社としては、当然、「グループ全体で日本版SOX法に取り組んでいる」ということをアピールしたいと思います。

経営者は、内部統制を整備・運用する役割と責任を持たなければなりません。そして、監査役は、決算と合わせて経営者による評価の妥当性を監査しなければなりません。

すなわち、財務重視であり、財務諸表と日々の活動を結びつけることが必要です。社内のルール、社会的ルールを適切に実行し、それに合致していることを証明することが必要になります。

その合致していることを証明するために、ITによる対応も要素の1つとして求められます。

しかし、ITが必要と言うことですが、無理にITを導入しなくても、例えば、伝票を追えるような仕組みを取り入れることで、証明ができるのであれば、それでも良いと思います。ただし、それには、かなりの人海戦術が必要になると思いますが。

ITで対応するには、どのような要件を満たさなければならないのでしょうか。

まず、「いつ」「どこで」「だれが」「何をした」かというような5W1Hの詳細なデータをデータベースに蓄積しなければなりません。しかもできるだけリアルタイムに蓄積しなければなりません。

米国の監査事例を分析していると、面白い事例に当たりました。以下の例は、非常に簡略化しています。

受注伝票番号　受注日付
　100001　　　2006/06/01
　100002　　　2006/06/02
　100003　　　2006/06/06
　100004　　　2006/06/04

この受注伝票番号と受注日付の関係から何が分かるでしょうか。

受注伝票番号100003と100004の受注日付が逆転しています。受注伝票番号100004は、受注を受けたにもかかわらず、担当者が入力を忘れたか、或いは、何らかの事情があり、入力できなかったかです。

日本では、よくあることだと思いますが、入力できなかった理由を社内ルールにてらして、明確にし、正当である証明が必要になります。私自身も経理処理をするときに、伝票番号と日付の関係など気にしていないのですが。

次に、会計など社内で発生するいろいろな伝票データを1枚ずつ入力し、検索、追跡ができるような仕組みが必要です。

また、データは、不正や改ざんができないようにしなければなりません。入力された伝票が変更されたからといって、その伝票を削除するような機能は使用できなくしなければなりません。

赤伝を切るか、反対仕訳を入力し、訂正することが求められます。例えば受注が取り消された場合、その伝票を削除するのではなく、受注が取り消されたことをログとして残さなければなりません。

皆さんの会社でどのような処理が行われているのか、今一度確認してみましょう。