「内部統制の整備に終わりはないし、完ぺきもない。SOX法(企業改革法)対応3年目を迎えた米国企業は、今も改善を続けている。特に課題になっているのは、内部統制を整備した後に、その運用を効率化することだ」。米フォレスターリサーチで企業のコンプライアンス(法令順守)やリスク・マネジメントの分析を担当する、ミッシェル・ラスムッセン バイスプレジデント(写真)はこう指摘する。
米国企業が今、最も力を入れているのは「運用を効率化するために、ITを活用すること」(ラスムッセン氏)。同氏によれば、SOX法対応1年目(2004年)の米国企業は、監査用文書を作成したり、内部統制上の不備を修正するので手一杯だった。2年目に入り、内部統制の整備が一段落すると、「内部統制を整備された状態を維持したり、監査用文書を管理することの大変さに気づいた」(同)
その結果、SOX法対応2年目から3年目にかけて、「内部統制の整備・運用を支援するソフトウエアを導入する企業が増えてきた」とラスムッセン氏は話す。現在、米国企業が導入を進めているソフトは2種類。一つは文書の管理作業を効率化する「SOXコンプライアンス・ソフト」。もう一つは、アプリケーションへのアクセスを管理する「コントロール・モニター」だ。
SOXコンプライアンス・ソフトは、SOX法の監査で利用する「業務フロー図」や「RCM(リスク・コントロール・マトリックス)」といった文書を管理するものだ。監査用に作成する文書は、企業によっては1000枚以上に上る。組織や業務が変わるたびに、これらの文書を修正する必要があり、文書のバージョン管理が欠かせない。業務フロー図を変更する場合は、RCMも変更しなければならず、両者の文書の関係を明確にして保存することが重要になる。SOXコンプライアンス・ソフトは、これらの機能を提供する。
こうした作業は手間がかかるため、「米国では多くの企業がSOXコンプライアンス・ソフトの導入を始めた」(ラスムッセン氏)。企業のなかには市販ソフトを利用せず、同等の機能を持つシステムを独自に構築するところもあるという。これにより、「ほとんどの企業が、監査用文書をITを利用して管理するようになった」(同)。
米国でSOX法コンプライアンス・ソフトに力を入れているベンダーは、「米IBMや米オープンページズ、米ステレント、独SAPなど」(ラスムッセン氏)。ASP(アプリケーション・サービス・プロバイダ)形式でこの機能を提供するベンダーも登場しているという。「ASP形式では、ソフトを短期間で利用できるようになるメリットがある一方で、内部統制の整備上、欠かせない文書の管理を外部に任せなければならない。ASPを利用する場合は、ベンダーの運用体制をチェックすることが欠かせない」(同)。
もう一つのコントロール・モニターは、ERPパッケージ(統合業務パッケージ)など業務アプリケーションに対するアクセスを監視するソフト。アクセス・ログを取得するほか、事前に設定したポリシーに違反するアクセス権が付与された場合、警告を出すといった機能を持つ。こうした作業は、「人手では監視しきれないので、効率化のためにはツールの利用が欠かせない分野」(ラスムッセン氏)だ。製品を販売するベンダーとして、独SAP(4月に買収した米バーサ・システムズ)や、米ACLサービシズ、米アプローバなどがある。
これらに加えて、「内部統制の整備・運用の手間を減らすために、新たに登場したのが表計算ソフトの管理ソフトだ」とラスムッセン氏は話す。Excelなどの表計算ソフトへのアクセスをシート単位で管理するほか、表計算ソフト内で利用されている関数や数値の更新履歴などを管理する。
SOX法対応のなかで、財務報告の作成に表計算ソフトを利用する場合の「内部統制の確立が課題になっている」とラスムッセン氏は指摘する。会計や販売といった業務アプリケーションに比べ、表計算ソフトはアクセス管理や変更管理といった機能が弱いため、内部統制の整備が難しくなるからだ。
こうしたことから、「米国では1年目、2年目に、財務報告の作成に表計算ソフトを利用を禁止しようという動きもあった」(ラスムッセン氏)。だが結局、「経理担当者は、使い慣れた表計算ソフトの利用を止めなかった」(同)。ベンチャー企業が表計算ソフト管理ソフトを開発し始めたのは、その後だという。製品は、米CIMCONソフトウエアや米クラスター・セブンなど「5社程度ある」(同)。
