C-SOX(中国SOX)について/戴 春莉

 アメリカSOX、日本SOX(J-SOX)に続き、中国でもC-SOX(企
業内部統制基本規範)が公表されました。2011年1月1日から、まず国内市場およ
び国外市場の両方に上場している企業を対象にC-SOXを導入し、2012年1月
1日から国内市場(上海市場・シンセン市場)のメインボードに上場している企
業にも適用する予定になっています。
 今年4月15日、財政部(財務省に該当)、証券監督管理委員会、審計署、銀
行監督管理委員会、保険監督委員会5機関連名で「企業内部統制の連携ガイドラ
イン」が発表されました。本ガイドラインには「企業内部統制応用ガイドライン」、
「企業内部統制評価ガイドライン」、「企業内部統制審査ガイドライン」の三つ
のガイドラインを含んでいます。
 リーマンショックが引き金になった世界的な金融危機以来、輸出産業の縮小、
物価の上昇、証券市場の低迷などが起こり、世界経済の将来については誰も予測
することのできない混迷の状況に陥っています。そのような中、企業管理に対し
てリスクマネジメントが要求され、ITを導入することで企業の外部リスクへの抵
抗力を向上させたいニーズが増えています。日立の予測によると、中国C-SO
X対応のIT市場規模は約100億円~700億円になると言われています。
 C-SOXは上場企業を対象にしていますが、ITサービスの視点から見ると、
上場企業だけでなく、一般企業においてもITに対する要求は同じと考えています。
 C-SOXの内部統制の要求では、企業管理の標準化、透明化、そして品質を
高めるため専門化が要求され、定期的に外部監査を受け、報告することで、ステ
ークホルダーのリスクを抑えるのが目的のようです。このことからも分かるよう
に、アメリカSOX、日本SOXのように、リスクマネジメントと内部監視コン
トロールを重視することは、全世界で一致しています。
 ここでは、中国のC-SOXの導入プロセスを元に、C-SOXを導入する際
に注意すべき10のポイントを皆さんに紹介します。

1.組織構成図はあるか?
 C-SOXを実施する時に、組織構成図に基づいて、C-SOX実施責任マト
リックス図を提出、内部統制の審査構造を決めます。

2.C-SOXの実施責任者はCEOおよび企業役員会と指定されているのか?
 C-SOXを実施するには資源が必要です。一部門を指定すると直接的に自社
の全資源の調達が出来ず、C-SOXの実施は失敗になる可能性が高くなります。

3.リスクマネジメントのフレームワークが明確になっているか?
 COSO(内部統制)、ERM(エンタープライズ・リスクマネジメント)、ISO31000
(リスクマネジメントの標準規格)など標準規格に基づいて社内のリスクマネジ
メントのフレームワークを構築することが薦められています。

4.IT部門のC-SOXの実施に対する役割が明確になっているか?
 ITはC-SOXの中で大変重要な部分なので、IT部門の参与はC-SOX実施
の成功に繋がります。

5.標準化に関する教育・トレーニングを計画していますか?
 教育・トレーニングがなければ、企業管理プロセスの標準化がうまく行かず、
C-SOXは失敗する可能性が高くなります。

6.専門家はいるか?
 企業内にリスクマネジメントや内部監査の専門家がいなければ社外の専門家を
採用すべきです。

7.C-SOX計画の中に、マイルストーンと測定基準はあるか?
 企業のCEOと上層部にC-SOXの実施状況の報告と成功への期待を得るた
めに、マイルストーンと測定基準を明示する必要があります。

8.C-SOXの社員業績をどのように評価するのかを決めているか?
 C-SOXでは、部門責任者は関係プロジェクトの目的と目標、そして達成状
況の報告が義務付けられています。企業の上層部には内部統制に関わる損害の賠
償も要求されています。

9.C-SOXを実施する企業メンバーにとってC-SOXを実施するメリット
  を明確にしているか?
 C-SOXの実施は、簡単ではありません。実施するメンバーには時間と労力
が掛かります。企業にとってC-SOXの実施メリットがあっても、実施するメ
ンバー達にメリットがなければ、メンバーのモチベーションが上がらず、時間と
労力を惜しまずに力を入れるのは難しいです。個人利益を重視しながら、集団利
益を上げることは中国流の企業マネジメント中で大変重要なことで考慮すべきで
す。

10.次にやるべきことを明確にしているか?
 C-SOXは継続的に改善するプロセスです。一時的な取り組みではないので、
次の戦略と今後実施すべき計画を専属チームから提案する必要があります。現在
の計画を実行しながら次の計画を提案する専属チームの編成、育成、とチームマ
ネジメントが重要です。


■執筆者プロフィール

氏名     :戴 春莉(たい しゅんり)/日本情報システム監査士
得意分野   :デザインの手法を情報処理技術への応用、上流工程の要求分析、
         問題デザインと可視化など
メールアドレス:dai-jp@leto.eonet.co.jp

公式Facebookページはこちらから

<いいね>をクリック!