日本版SOX法の実施基準は?

日経コンピュータ 2006.08.21号に「J-SOX実施基準、「具体例なし」の公算大 200ページの原案を廃棄、草案公開は早くて10月」という記事が載っていました。
おいおい、これはないだろう!と思ってしまいます。
記事によると、「当初はかなり詳細な基準を示す予定だった。事実、同部会が作成した実施基準の原案はA4版で200ページを超え、約100項目をQ&A形式で記述していたという。 ところが同部会はこの原案を廃棄し、新たに作り直すことを決めた。」とあります。
その理由として、「八田進二教授は、その経緯を「当初の原案は「評価方法」を重視していた。だが、企業が求めているのは「枠組み」だと分かり、作り直すことに決めた」と説明する。原案を複数の担当者が記述したため、記述レベルの統一が困難だったのもその理由の一つだった。」となっています。
今回は、コントロールポイントとリスクを洗い出した結果を元に、不備があれば、その改善方法について書こうと思っていたのですが、それを次週以降に回し、この記事に対する考えを書きます。(この記事が事実であるという前提条件です。)


さて、こんな調子で、2008年4月以降の決算期で実施し、内部統制を評価できるのでしょうか。間に合いません…
単独決算ベースで、本社だけ対応すればよいというわけではなく、連結決算ベースで、関係会社を含めて対応しなければなりません。業務をアウトソースしている企業は、アウトソース先の対応状況に影響されます。
ちなみに、業務を受託している企業が日本版SOX法の対象企業でなくても、業務委託元が日本版SOX法の対象企業であれば、業務処理統制、IT(情報技術)業務処理統制、IT全般統制など、受託業務に関する内部統制を整備し、その整備状況を示す文書と、それが有効に機能していることを検証する文書を作成することが必要となってきます。
対応には、ステークホルダーが非常に多く、同時に開始することは、まず不可能です。
本社は別としても、子会社では、日本版SOX法に対する理解も低く、当然、「なぜ対応しなければならないのか?」という疑問が出てくることもしばしばです。
実施まで1年半、評価まで2年半しか残されていません。
今現在、日本版SOX法対応のための内部統制整備プロジェクトを実施している企業の大きなリスクは、この実施基準が公開されておらず、どこまで対応すればよいか分からないことです。スコープが将来ずれるリスクを抱えたままプロジェクトを推進しています。
私が支援しているある企業の内部統制整備プロジェクトでも、これが分からず、米国SOX法に準拠してプロジェクトを実施しています。日本版SOX法は、米国SOX法を踏まえて、米国SOX法よりはゆるいだろうという前提条件です。
整備をどの程度まで実施すれば良いかという問題も、実施基準がなければ、「監査法人がOKを出せる程度」という曖昧なものになってしまいます。プロジェクトの性格上、多少は仕方ないとしても、その品質が監査法人の意向に左右されてしまいます。
監査法人にしてみれば、「それは、企業側で考えてくれ」と答えるしかありません。しかし、最終的に「内部統制報告書」を作成し、監査法人の監査を受けるので、「監査法人の監査を通ること」がプロジェクトの目的に成りかねません。
だからこそ、現場では、1日も早く実施基準を公開してほしいのです。
八田教授の言うように、「評価方法」の実施基準から、「枠組み」の実施基準に作り直す必要はないのです。その両方を公開したら良いと思うのは、私だけでしょうか。
プロジェクトを推進していくと、いずれにしても「評価方法」で壁にぶつかるのは目に見えています。
内部統制整備プロジェクトは、本当に、多くの要素を含んでいます。高度なプロジェクトマネジメントが求められます。プログラムマネジメントと言っても差し支えないと思います。やるべきこと、決めるべきことが本当に多いプロジェクトです。
ITプロジェクトの比ではないと感じます。監査法人の監査を通らなければ、その企業の信用が低下することを考えれば、プレッシャーは相当なものです。
それだけ、プロジェクト自体が面白いのですが…

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*