PR

 「日本版SOX法への対応が必要」と言われても,いったい具体的に何をすればよいのか。今ひとつ,ピンと来ない――。このように頭を悩ませている情報システム部門の担当者が少なくない。

 財務報告の適正性を確保するために上場企業に対して内部統制の整備を求める,いわゆる「日本版SOX法」が適用されるのは,2008年4月以降に始まる事業年度から。うかうかしていると,あっという間に“本番”が来てしまう。

 ところが,現時点では「日本版SOX法対応とは何か」を説明した公式の教科書に相当するものは存在していない。ここでいう教科書とは,金融庁企業会計審議会 内部統制部会傘下の作業部会が作成している「実施基準」を指す(後述)。

 その教科書が出てこない限り,日本版SOX法にどう対応すべきかが分からないのか。日経コンピュータ9月4日号特集「J-SOX(日本版SOX法)狂想曲」の取材で,米SOX法(企業改革法)または日本版SOX法対応を進めている企業のシステム部門のマネジャ,さらに内部統制のコンサルタントや公認会計士に話を聞いたところ,どうもそうではないようだ。むしろ,システム部門が日本版SOX法に対応するうえで,やるべきことはハッキリしていると言うべきだろう。

 その内容を単純化すると,「システム部門の業務を見直して,問題点を洗い出す。そのうえで,これまでやってきたことをより徹底したり,やるべきだと自覚しているがまだ手を付けていなかったことを実行する。同時に,監査用の文書を作成する」となる。ある製造業のシステム部長は,「『日本版SOX法への対応は大変』とIT業界は大騒ぎしている。だが,やるべき内容を聞く限り,これまで情報システム部門がやってきたこととほとんど変わらない。日本版SOX法対応とは,基本をしっかりやれということだと考えている」と話す。


IT統制の観点で見直し,監査用文書を作る

 システム部門が日本版SOX法に対応するために何を実行すべきかを,もう少し詳しく見ていこう。

 日本版SOX法対応の基本は,財務報告の正確性に影響を及ぼしそうなリスクを明確化し,リスクに対して防止策や低減策(統制:コントロール)を実施することだ。例えば,伝票の承認作業を「承認者が印鑑を押す」形で進めている場合,「伝票の見落とし」や「印鑑の押し忘れ」といったリスクが想定される。そこで,これらを低減する統制として「ワークフロー・システムを導入して自動化する」を実施する,といった具合だ。

 こうしたITを活用してリスクを統制する作業を「IT業務処理統制」と呼ぶ。電子化しておけば,内部統制がきちんと機能しているかどうかを評価・監査する際に,証拠となる文書を効率よく管理できるようになるメリットもある。

 上の例からも分かるように,IT業務処理統制では何か特別なものが求められているわけではない。手作業だった処理を自動化する,文書を電子化するといったことは,企業でごく当たり前に行われている。「IT業務処理統制といっても,考え方は今までITに求められていたことと何一つ変わっていない。特に大騒ぎする必要はない」と,あるコンサルタントは強調する。

 システム部門が日本版SOX法に対応する際には,IT業務処理統制に加えて「IT全般統制」も進める必要がある。これは,システム開発や運用・保守作業におけるリスクに対する統制を整備するもの。開発担当者と運用担当者を分ける,システムの変更管理の履歴を残す,外部委託先とのやり取りを管理するといったことを指す。これらも程度の差はあるにしても,システム部門が当たり前のように行っている。

 システム部門は,こうした普段の業務の延長線上で,新たにやるべきことがあるかどうかを判断すればよい。例えば,会計システムに誰でもアクセスできる状態であれば,会計データを改ざんされるリスクがあるので,アクセス管理の仕組みを導入する必要がある。変更管理の履歴を残していない,外部委託先とのやり取りを文書で記録していない場合,これからは面倒でも文書を作成しなければならない。

 通常の業務とやや異なるのは,監査用文書の作成が必要になることだ。日本版SOX法は,内部統制の整備状況を経営者が評価し,その結果の妥当性を監査人が監査することを義務付けている。そのため,第三者に内部統制の整備状況を分かりやすく説明する文書が必要になる。通常は,業務フロー図,リスク・コントロール・マトリックス(RCM),業務記述書のいわゆる“3点セット”を作成する。

 この文書化の作業は,システム部門に限らず全社の関係する業務に関して実施する。「日本版SOX法対応の初年度の企業にとって,もっとも時間がかかるのはこの部分だろう」と,多くの内部統制のコンサルタントや公認会計士は話す。


実施基準への目配りも必要

 では,システム部門は公式な教科書である「実施基準」に対して,どのような態度をとればよいのだろうか。前述したように実施基準は,まだ作成中の状態にある。関係者の話を総合すると,「システム部門としてやるべきことはハッキリしているので,実施基準を待たずに対策を進めたほうがよい。ただ,実施基準が出てこないと明確にならない部分もあるので,必ず参照すべき」となるようだ。

 実施基準によって明確になると見られているのは,「内部統制の整備の範囲」である。つまり,「どの連結子会社までを整備の対象にするか」といったことだ。日本版SOX法は連結ベースで,内部統制の整備を求めている。大規模な企業グループでは,本社に加えて数百社にも及ぶ連結子会社の対応が必要になる。この範囲をどう決めるかで,システム部門の手間は大きく変わってくる。

 実施基準の構成案では,ITにかかわる記述があることも明らかになっている。ただし,「電子メールやシステムへのアクセス・ログを何日残せばいいか」といった具体的な数値や,外部委託先とのやりとりで必要な文書の種類などの細かい規定はないと見る向きが強い。それでも,押さえとしてシステム部門の担当者は,実施基準を参照すべきだろう。実施基準がいつ公開されるかは未定だが,早ければ10月に草案が入手可能になる見込みだ。その後,草案に対する意見を反映させた上で,年末あるいは2007年初頭にも正式版が公開されると見られる。