- 親会社のNECが米国で上場しているため、NECソフトは米国SOX法の対象となっています。そのため、必要な対策を2005年-2006年上期までにひと通り経験してきました。その過程で営業部門の社員に通達された項目の中には、「営業行為に係わる伝票には必ず確証をつけること」「契約書には必ず締結日を記載すること」「納入日と検収日の関係は必ず整合させること」などがありました。
「何を当たり前のことを言っているのか」と思われるかもしれません。しかしこれらはどれも、J-SOX法が求める財務諸表の信頼性に影響を与える事項なのです。内部統制を現場に徹底するには、こういった日常の業務を正しく遂行することで、そこに潜むリスクを排除していくというアプローチも有効と言えるでしょう。
基本的なルールは「キチンとやる」ということです。そしてそのルールに反した手順は会社として認めないことを運用上徹底しなければなりません。万一守れない場合はその理由を明確にし、しかるべき承認を得る手順も必要になるでしょう。
気心の知れた取引先などが相手だと、納品書や請求書を作成するにも「日付は適当でいいよ」などといったやりとりがありますが、これは許されません。ITに関しても、システムの開発と運用を同じサーバでやっていたり、パスワードをモニターに貼ったままにしていたりといった、ちょっとしたことから発生するリスクをなくしていかなくてはなりません。 
- 業務に潜むリスクを、一度の文書化作業ですべて網羅することは非常に困難です。業務担当部門が作成した文書を内部統制推進部門がチェックしていく中で、見落としていたリスクを随時追加していくことになるでしょう。ビジネスプロセスからリスクを抽出する際に重要になるのは、シナリオ思考で予測する、ということです。「このプロセスはこういう理由でこうなっているからこういう事態が起こりうる。」「このプロセスでこういう対処がされない場合こういった影響が考えられる」というように、シナリオを描きつつ進めていくのです。その過程で財務への影響があまりに大きいリスクが顕在化した場合は、関連するビジネスプロセスそのものを見直す必要が出てくるかも知れません。しかし、それはむしろ見つかって良かったと考え、積極的にビジネスプロセスの最適化につなげていくべきでしょう。
さて日本版SOX法ではリスクとともに、そのリスクをどうコントロールするかを明確に文書化しなくてはなりません。その文書がRCM(Risk Control Matrix)と呼ばれるもので、通常はリスクとコントロールを表形式にまとめます。リスクのコントロールにはITを使わなくてはいけないのかという声を聞きます。J-SOX法が求める内部統制では必ずしもその必要はないのですが、対象となる業務プロセスとそれに関するリスクの数の多さや、コントロールを確実に実行しなおかつそのモニタリングまでおこなう必要があることを考えると、ITを活用するに越したことはないのではないでしょうか。
Page up
