日本版SOX法に向けた取り組みが本格化

昨今、有価証券報告書における虚偽報告、安全より利益を優先したことによる事故や事件、商品の虚偽表示、情報漏えいなど、企業にとって財務リスク要因以外の経営リスク要因が、確実に拡大しつつあることを伺わせるニュースが後を絶ちません。これらの背景には、リスクに対する認識の甘さ、目標達成への過剰な圧力、不十分なリスク評価と対応、統制環境や監視活動の不備などがあります。日本ではこれまで、企業活動に潜む多様なリスク要因に対する対応策の検討やその具体的な取り組みが、各企業の自主努力あるいは業界主導の規制に委ねられてきたことも要因と考えられます。

一方グローバルでは、典型的な訴訟社会であることに加え2002年7月から米国企業改革法（Sarbanes-Oxley Act：SOX法）が施行された米国、世界的にも法規制に対して厳格で、最近では特定有害物質使用制限指令（RoHS）や廃電気電子機器指令（WEEE）など会計以外の分野でも厳しいコンプライアンス要件が求められている欧州など、コンプライアンスが、早い段階から重要な経営課題の1つとして認識されてきました。

企業が取り組むべきコンプライアンスの対象範囲には、法規制遵守としてのコンプライアンスと、リスクマネジメントなどの観点からのコンプライアンスの2つがあります。後者を消費者や市場に対する自主的かつ誠実な企業活動の一環として捉えれば、前者を狭義のコンプライアンス、後者を広義のコンプライアンスと言うこともできます。

日本でもようやく、昨今のグローバル動向や増え続ける不祥事を受け、リスクマネジメントやCSR活動などを含む広義のコンプライアンスへの関心が高まりを見せ始めています。たとえば、内閣府令第28号（企業内容等の開示に関する内閣府令等の一部を改正する内閣府令）の施行、会社法の成立、金融庁による「財務報告に係る内部統制の評価及び監査の基準（公開草案）」の公表、経済産業省による「コーポレートガバナンス及びリスク管理・内部統制に関する開示・評価の枠組みについての指針」の公表は、日本における具体的な取り組みを象徴する動きです。中でもあらゆる企業にとって最大の焦点となるのが、金融庁の公開草案がベースとなり2008年3月期の施行が予定されている、「日本版SOX法」とも呼ばれる新たな法規制の導入。これにより、企業の内部統制の適正性が内部からも外部からも厳しくチェックされることになります。

ITに求められる内部統制の要件とは？

金融庁の公開草案では、「業務の有効性及び効率性」「財務報告の信頼性」「事業活動に関わる法令等の遵守」「資産の保全」を内部統制の目的に掲げ、これらを達成するための基本要素には「統制環境」「リスク評価と対応」「統制活動」「情報と伝達」「監視活動」と並んで「ITへの対応」が盛り込まれています。これは、今やあらゆる企業のビジネス活動に不可欠となっているITの重要性とITによるリスクを考慮し、日本独自に追加されたもので、日本版SOX法の大きな特徴でもあります。さらに、ITを利用した内部統制として次の2つが定義されています。

では、具体的に情報システムに求められる"内部統制の視点"とは何でしょうか。以下に、SAPで実現される点をいくつかご紹介します。

1. 透明性 － 必要な情報をリアルタイムに確認できるため、問題の発見やリスクの特定、解決が迅速に行えます。
2. データの精度と整合性 － 手作業の介入を排除しプロセスを自動化することにより、データの精度と整合性を維持します。
3. トレーサビリティ － 業務間での緊密なデータ連携、変更履歴の記録・照会などにより、監査性の高い仕組みを提供します。
4. セキュリティ － アクセスモニタリング、柔軟な権限設定、承認ワークフローなど、ユーザ権限に基づいた適切な処理を支援することにより、不正処理を排除します。
5. 変化への適応力 － 柔軟性と拡張性に優れた統合プラットフォームの提供により、プロセスや将来の法制度の変更にも迅速に対応でき、継続的なコンプライアンス対応を可能にします。

※SAPの内部統制に関するソリューションの詳細は第5回目以降にご紹介する予定です。