 |
   |
| Up Front Opinion|Another side Talk|巻頭特集|Open Source Solutions|ソフトウェアライセンス|IT活用|売れるショップ|ビジネストレンド|イベント |
 |
||
| 2007年3月時点の情報を掲載しています。
|
||
 株式上場企業を基本として、会計報告書などの公正性を証明するために、日本版SOX法の施行が秒読み段階に入った。個人情報保護法に匹敵するほど、IT業界にとってはインパクトのあるビジネスのテーマとなっている。しかし、中堅・中小企業では、まだそれほど実感はない。株式の上場予定もなければ、米国などに進出していなければ、関係ないと考えている経営者も多い。だが、いずれは考えなければならない時期が訪れる。 日本版SOX法対応とは? すでに、多くの雑誌や専門書でも日本版SOX法に関連した情報が数多く解説されている。その基本は、業務の透明性や意思決定プロセスの明確化に、その統制環境を定期的に監査・報告し、改善していくことにある。投資家が、その企業の成長性や経営状況を判断する時に、まず基本とする情報は決算報告書などの財務諸表だ。しかし、過去の企業会計の不正事件では、その財務諸表が捏造されていた。よりどころとなる会計報告書が捏造されてしまえば、投資家は正しい判断ができない。そこで、投資家を保護する目的で、財務諸表を中心とした業務関連の報告書に関わる公明正大性を示すための法律が用意された。この法律を遵守するためには、定められた業務管理システムを構築・維持・改善していく必要がある。そのため、多くのITベンダが日本版SOX法対応をうたったパッケージやソリューションを提供している。だが、利用する企業にとっては、何がどのようにSOX法対応なのかわからず、混乱しているのではないだろうか。そこで、最初に日本版SOX法対応の3ステップついて簡単に考えてみることにした。 社内リスクと業務フローの洗い出し 内部統制のために企業で取り組むべきステップ1は、業務に関連するリスク・コントロール・マトリクスと、業務フローの作成にある。リスク・コントロール・マトリクスは、企業内の業務プロセスにおいて、不正やミスが発生するリスクと、それに対処する方策を列挙した表になる。たとえば、旅費の清算に関連した業務には、空出張というリスクがある。このリスクに対して、安全性をコントロールするには、経理担当が清算内容と添付された乗車券などを確認する、といった方法がある。場合によっては、1つのリスクに対して複数のコントロールを指定する。多くの企業では、このリスク・コントロール・マトリクスは、Excelなどの表計算ソフトで作成するが、専用のソフトもある。加えて、販売や購買などの業務ごとのプロセスを記述した業務フローも重要になる。物品の購買や商品の販売など、金銭に関連する業務の流れがどのようになっているのか、その業務において誰がどの段階で承認するのか、そのプロセスは正しく行われているのか、とった業務の流れをフロー図によって可視化し、不正のできない業務プロセスを実現するのが目的だ。業務フローは、ワープロソフトや描画ツールなどを使って作成することが多い。あるいは、専用の業務フロー作成ツールを利用することもある。 ドキュメントの管理・運用基盤の確立 リスク・コントロール・マトリクスや業務フロー図の作成は、複数の部門や部署にまたがって、関係する人たちがひとつの表や図を仕上げていく共同作業になる。また、完成後もそれで終わりではない。業務の変更や監査の結果によって発見された新たなリスクがあれば、コントロールの追加やフローの修正なども必要になる。また、ドキュメントそのものが安全かつ確実に管理されているかどうかも証明しなければならない。そのためには、データ化されたドキュメントの管理と運用基盤の確立が求められる。これがステップ2にあたる。一般的には、ECM(エンタープライズ・コンテンツ・マネジメント)のような、全社横断の統合的なドキュメント管理基盤の導入が必要といわれる。あるいは、グループウェアなどを活用して、いつ誰がどのドキュメントを修正したのか、その確実な記録と管理ができるようにする。あるいは、グループウェアのワークフロー機能に注目し、その企業の業務フローにあわせた承認プロセスを設計し、ソリューションとして提案する例もある。セキュリティや変更管理などはグループウェアに任せ、業務フローに承認システムを導入し、IT化と可視化を同時に行う取り組みだ。 システム変更・修正履歴も管理する 現在の業務は、そのほとんどが何らかのITシステムに依存している。特に、財務会計や販売管理などは、ITがなければ成り立たない。それだけに、リスク・コントロール・マトリクスや業務フローによって可視化された業務の構造も、ITシステムによって実際のオペレーションが行われる必要がある。そのITによる業務遂行において、システムの変更・修正記録の管理なども、重要なステップとなる。業務に関連するリスクを洗い出し、それをコントロールするための業務の仕組みが明確になったならば、その承認やワークフローをITシステムとして構築していく。あるいは、既存のITに対して、不足している管理や統制を実装していく。これがステップ3だ。 ITインフラの整備が鍵を握る もちろん、これだけ本格的なITシステムによる内部統制や業務システムの信頼性を確立するためには、それなりの人手とコストがかかる。極端な例では、1年間で数百人規模の延べ人数を投入した金融機関もあれば、2年かけて数十人の特別専任チームで担当したケースもある。時間を短縮するために人とお金をかけるか、反対にコストと人手を減らすために、早くから準備に取りかかるかという、違いが大きく出てくる。現実の問題として、リスク・コントロール・マトリクスの作成だけでも、Excelのワークシートが複数の担当者に電子メールなどでCC:されていけば、最終的な取りまとめには手間も時間もかかる。この初期段階から、ひとつのワークシートを複数の人たちが共有して編集できるようなコラボレーション環境が整っていれば、作業は大幅にはかどる。つまり、日本版SOX法導入が円滑に進むかどうかは、実際のドキュメント作成の前に、ITインフラがいかに働く人たちにとって効率よく利便性の高いものとなっているかにかかっている。そうしたコラボレーションに適した環境が整っていれば、日本版SOX法対応だけではなく、ビジネスそのものも円滑で効率のよいものになるはずなのだ。
|
  |
|
 |
||
 |
||
本紙の購読申込み・お問合せはこちらからCopyright
2006 Otsuka Corporation. All Rights Reserved.