NECは2年半前から始めた米SOX法への取り組みを中心に,日本版SOX法(金融商品取引法)に対応するための心がけや,NECが提供するソリューションなどを紹介した。
NECは米国市場に上場している関係から,米国SOX法(企業改革法)への対応は必須だった。「現在でこそ,内部統制に関する情報はあふれている状況だが,当時はほとんど情報もなく,手探りで始めるしかなかった」(システムソフトウェア事業本部長の岡田高行執行役員)。対象は連結対応の子会社356社を含む。組織レベルの統制評価を全体に対して実施し,さらにプロセス・レベルでの詳細な評価を子会社は70社に対して実施した。
プロジェクトの開始は2004年4月。約1年かけて文書化を実施し,2005年4月からテストを始めた。テストは2回に分けて実施。2005年11月まではトライアルとして,一部の部門やプロセスを取り出して,評価がうまくいくかどうかを検証した。さらに2005年12月から,リハーサル・テストとして実際の評価と同等の検証を行った。最終的に,各プロセスの責任者がバックアップ宣誓書を内部統制の責任者である社長と経理財務担当役員に提出し,最初の監査が終了した。
内部評価はCOSOモデルに基づいて,2段階に分けた。組織(会社)レベルと,個別業務のプロセスである。組織(会社)レベルはすべての連結子会社を対象とし,COSOモデルの5要素の有効性を自己評価するため,質問表に記入してもらう形で評価を実施した。回答の水準を統一化するため,記入のガイドラインを送付するなどして水準の統一を図った。一方,個別業務のプロセスについては,財務諸表に占める割合などから重要な70社を選んだ。
プロセス・レベルでは販売管理,経理,IT統制など9種のプロセスを選び出し,このそれぞれについて3段階の評価を実施した。3段階とは,文書化の評価,整備状況の評価,および運用状況の評価である。文書化ではプロセスの流れを図式化し,それぞれについてリスクの評価および軽減措置などを記入するリスク・コントロール・マトリックス(RCM)を作成する。
次に第三者によるウォークスルーを通じて,整備状況の正しさを評価する。そして具体的なデータによって,内部統制の働きを把握するために実施するのが,運用状況の評価である。必要に応じて文書化など前段階に戻って修正を加えることになる。
この体験を踏まえ,日本版SOX法への対応に必要なこととして次の7項目を挙げた。(1)トップ・マネジメントの強力なリーダーシップ,(2)全員参加型のプロジェクト推進,(3)継続的な推進体制の構築・整備,(3)外部監査人を十分関与させる,(5)ガイダンスなどを活用した品質管理,(6)業務の標準化・集約化への対応,(7)外部リソースの有効活用,である。
なかでも強調していたことが,プロセスの標準化などによる効率化である。複数の子会社間で共通するプロセスなどをパターン化して効率を向上させる。これによって,「単に内部統制に対応するということだけではなく,プロセスが明確化し,リスク管理体制が確立することによって,企業価値の向上につながることが重要だ」(岡田執行役員)と語った。
