PR

上河辺 康子
財団法人 日本情報処理開発協会 調査部

 日本版SOX法の適用に向け、多くの企業は今後半年間、内部統制の運用状況のテストなどに取り組まれることと思う。その一方で、「本格的な取り組みはまだこれから」、あるいは、「どんな手順・手段で作業を進めればよいのか、自信が持てない」といった企業も少なくないのではないだろうか。

 そうした実態を把握するため、財団法人 日本情報処理開発協会(JIPDEC)は上場企業3840社の情報システム部門長を対象に、アンケート調査「IT統制に関する実態調査」を実施(詳細は末尾の「調査の概要」を参照)。有効回答491件の内容を詳細に分析した。

 ここでは、その分析結果の中から、内部統制に取り組む多くの企業にとって参考になると思われるテーマを3つ選び、ご紹介したいと思う。それを通じて、内部統制の整備において不可欠な業務プロセスや情報システムの見直しの要点を考えてみたい。

 第1回である今回は、業務プロセスや情報システムの見直しにあたって利用する「ツール」を取り上げ、ツールの種類ごとの利用状況や、それぞれの有効性に対する評価について紹介する。第2回は内部統制を整備する際に参考になる、「COBIT」や「COSO」といったフレームワークの利用状況について紹介する。最後の第3回は、「IT統制の成熟度」について詳しく分析する予定である。

費用・人員の不足や業務プロセス見直しの負荷が悩み

 まず、調査実施時点(2006年12月~2007年1月)における内部統制への取り組みの状況を概観しよう(図1)。取り組みの内容ごとに、着手した(する)時期を質問したところ、2006年度は「全体計画の策定」や「業務プロセスのフロー図作成」を挙げた企業が特に多かった。米国証券取引委員会(SEC)の登録企業など、先行して対応を進めている一部企業を除き、この段階では法対応の準備段階にある企業が多かったと言える。これに対して、「業務手続きや情報システムの見直し」や「内部監査部門による第三者チェック」は、2007年度以降に行うとする企業が過半数を占めた。

図1●内部統制確立への取り組み状況
[画像のクリックで拡大表示]

 内部統制の狙いとしては、「法令遵守体制の確立」に加え、「経営の透明性確保」や「リスクマネジメント方針の明確化」を挙げる企業が多かった。その一方で、内部統制の取り組みの対象とする業務範囲は、従業員規模によって回答にバラツキがあるものの、全体では回答企業の実に68.4%が「財務報告に関わる業務プロセス」としており、「全業務プロセス」を挙げた企業は27.0%にとどまった(図2)。以上のことから、グループ全体での統制を強化して企業価値の向上を図ろうとしながらも、当面は日本版SOX法を強く意識した対応にならざるを得ない、という状況が見受けられる。

図2●内部統制の対象とする業務範囲
[画像のクリックで拡大表示]

 今回の調査では、内部統制に取り組んでいる企業が、さまざまな問題に頭を悩ませていることも明らかになった。複数選択方式で質問したところ、最も多かったのは「内部統制の確立に向けた作業に充てる費用・人員がない」。続いて「継続的に業務プロセスの見直しなどを行う負荷が高い」が2番目に多かった。