「虎の巻」を作ってSOX法対応、サン日本法人の取り組みは

2006/10/17

 内部統制の整備を企業に義務付けるいわゆる日本版SOX法(金融商品取引法の一部)の本家である米国SOX法(企業改革法)は、米国企業の海外法人も対象となる。サン・マイクロシステムズ日本法人も米国本社に合わせて整備を進めた1社。同社の経理財務本部 財務企画部/SOX担当 部長 清水康之氏は、「素人集団だったので初めてのことばかりで苦労した」と振り返る。

サン・マイクロシステムズの経理財務本部 財務企画部/SOX担当 部長 清水康之氏

 サンの米国本社がSOX法対応を始めたのは2003年10月。日本法人も同時期に対応を開始した。日本は英国、ドイツと並ぶ重要海外法人の1つで「SOX法に関してフルスコープで毎年、すべてやることが求められた」(清水氏)。

 ただ、サンは全世界の拠点でアイデンティティ・アンド・マネジメント(IAM)、ITシステムの基盤を共通化していて、この2点に関しては米国本社が内部統制整備を進めた。日本法人が求められたのは「ビジネス面のコントロール(統制)」だった。

 内部統制の整備では、ビジネスプロセスにどのようなリスクがあり、そのリスクをなくすためにどのような対策を行ったかを文書化する必要がある。いわゆる「リスクコントロールマトリクス」だ。サン日本法人が行ったのは米国本社が設定したコントロール項目をテストし、日本法人の現状に合わせて修正したり、逆に日本のビジネスプロセスをコントロールに沿うように変更すること。

 清水氏は「人事に関しては日本とグローバルで大きく異なった。キーコントロールを修正して対応した」と説明した。調達関連のビジネスプロセスはグローバルと共通の項目が多く、コントロールの修正項目は少なかったという。リスクコントロールマトリクスの作成についてはツールも出回っているが、「2003年10月の時点では手作業にならざるを得なかった」という。

 作業は業務担当者の「コントロールオーナー」、コントロールオーナーの上司に当たる「プロセスオーナー」と、コントロールを試す「テスター」、米国本社との連絡役の「SOXリード」など50人で構成。例えばテスターであれば、コントロールオーナーが提出したビジネスプロセスからサンプリングを抽出し、実際にプロセスを実行する。コントロールオーナーはプロセスが想定どおりに実行され、コントロールが働いていることを示す証拠を提出する。テスターはすべてを確認し、監査調書にまとめる。テストで不備が見つかれば要求を満たすようコントロール、プロセスを修正し、再度テストする。テスターはコントロールごとに全ドキュメントと証拠をファイリングする必要がある。

 グローバルで作成する文書以外に日本法人で作成した文書は、グローバルとのコントロールの違いを記すブリッジと、テストスケジュール、監査調査、テスト結果サマリー、プロセスフロー、マニュアル、ポリシーなど。すべての文書は紙で作成・保存する必要がある。清水氏は「ペーパーレスと逆行し、書類が増加した」と話した。ITシステムを世界で共通化しているサンと異なり、日本の一般企業の場合はIT統制もほぼゼロから行う必要がある。作成する文書はより大量になると思われる。

 清水氏が気を配ったのは作成される文書のレベルを一定に保つことだ。「ドキュメントのテンプレートはグローバルから送られてきたが、プアだった」(清水氏)といい、グローバル頼みは難しかった。しかし、「個人の勝手な判断では駄目」(同氏)。そのため清水氏らは文書化のケースごとに「虎の巻」を作った。虎の巻は、承認や証拠などについて判断の基準を示すガイドラインで、文書化を図解で説明したのが特徴という。清水氏はSOX法について「コントロールの意味を理解することが求められる」と指摘する。SOX法だからやるのではなく、「常に内部統制を考えることが重要だ」。

(@IT 垣内郁栄)

[関連リンク]
サン・マイクロシステムズ

[関連記事]
生き残るWeb 2.0サービスの条件は、リクルートとサンに聞く (@ITNews)
「控えめに見ても……」、内部統制整備で覚悟すべきコストは? (@ITNews)
KPMGの日本企業担当監査人、SOX法対応の実際を語る (@ITNews)
日本版SOX法の準備状況は企業規模に比例、IT統制協議会調査 (@ITNews)
SOX法対応企業が振り返る「本当に勉強させてもらった」 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)