« 金融庁 証券会社のシステム業務委託先も検査対象へ? | Main | 金融庁 内部統制部会 12月8日の議事録が公開されてました »

2006.01.04

日経産業新聞 SOX法対応、どのくらい大変?

 こんにちは、丸山満彦です。2006.01.04の日経産業新聞7面にTDKの江南清司取締役の米国SOX法対応についての記事が載っています。
 「徹底まで2年がかり」ということのようです。

 
 気になる部分を抜き出してみます。

=====
 最初に始めたの業務の洗い出しだ。販売や製造、経理といった業務ごとに作業の流れを一つひとつ整理する。そのうえで各プロセスごとに作業ミスや不正などどんなリスクが起こりうるかを列挙して、すべて明文化する。
(中略)
 当社の場合、洗い出したプロセスは250件、リスクはその20倍、合計5000件に上った。これだけの数を文書の形で整理するだけで、膨大な手間とコストがかかる。おまけにSOX法では、列挙したリスク一件ごとにリスクの顕在化を防止する施策を決めて全社に徹底する必要があった。
 情報システム面での対応も必要になるが、これも意外に厄介だった。
(中略)
 当社は情報セキュリティの国内認証規格「ISMS」を取得した。結果論だが、これが正解だった。ISMSはSOX法で求められるシステム運用体制をほぼ満たしているからだ。逆に言えば、ISMSの取得なしにSOX法対応はありえなかった。
(中略)
 日本でもSOX法日本版の08年度導入が検討されている。当社は03年末に米SOX法対応に着手して、2年がかりで要約会社に徹底を図る段階にきた。何も準備していない企業は06年早々から手をつけるのが得策だろう。
=====

 全社的な内部統制の構築もあわせてする必要があると思いますが、それが整備されたところで、業務プロセスに係る内部統制の構築にどのように影響するかは明確ではないという問題がありますね。内部統制部会案では、トップダウンアプローチといって、全社的な内部統制の評価をし、その結果をうけて業務プロセスに係る内部統制を評価する方法を採用していますが、全社的な内部統制の評価結果が、どのように業務プロセスに係る内部統制の評価につながるのかについては明確になっていないように思いますね。
 あと、興味深いことは、情報システムの内部統制を整備するのにISMSの認証が役立ったと言う点ですね。もちろん、ISMSの認証取得をしているから情報システムの内部統制に全て対応できると言うわけではないですが、特にIT全般内部統制の部分については、リスクの識別と評価及びその対策の決定がマネジメントシステムに乗っかってできているわけですから、SOX法対応のための評価シートにそれを落とし込めばかなり効率的にできるのは確かでしょうね。
 
 徹底させる段階にくるまで2年で徹底させるのに1年かかるとすると3年かかるということになるのではないかなぁ・・・。もちろん、経営の優先順位を上げて、財務報告に係る内部統制の整備にヒト、カネをかけるともっと早くできる(米国のForm10K企業はそうしたわけですから)のでしょうけど・・・




このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« 金融庁 証券会社のシステム業務委託先も検査対象へ? | Main | 金融庁 内部統制部会 12月8日の議事録が公開されてました »

Comments

>当社の場合、洗い出したプロセスは250件、リスクはその20倍、合計5000件に上った。

ひとつのプロセスにつきリスクが20種類あったということなのでしょうか。

TDKではリスクのカタログなどを作ったのかな。。。 業務プロセスの標準化を図るのが最近の傾向だという気がしますが、リスクもあまりにも細分化せずに標準化できるものはまとめてしまうというようなことをしないと、いろいろと大変そうです。

リスクマネジメントに関しては勉強中なので、なにかお勧めの書籍などがありましたらご教示くださいませ。

Posted by: koneko04 | 2006.01.05 15:09

koneko04さん、コメントありがとうございます。
COSO ERMをよく読むのがよいのではないでしょうか???

リスクマネジメントという表題で本を探すと
リスクファイナンス系
危機管理系
というのも入ってきますけど、知りたいのはエンタープライズリスクですよね・・・

ならCOSO-ERMがフレームワークを理解すると言う意味ではよいのではないでしょうか?

Posted by: 丸山満彦 | 2006.01.05 21:44

丸山様

アドバイスありがとうございます。
COSOのERMをしっかりと勉強します。

Posted by: koneko04 | 2006.01.06 05:12

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 日経産業新聞 SOX法対応、どのくらい大変?:

« 金融庁 証券会社のシステム業務委託先も検査対象へ? | Main | 金融庁 内部統制部会 12月8日の議事録が公開されてました »