PR

多くのソリューションプロバイダが「SOX法対策」をうたった様々なカテゴリーのIT製品やサービスを投入している。そこで企業のSOX法対策に役立つソリューションに関する大規模な調査を実施。112社から得た回答や取材を基にソリューションの枠組みを整理し,SOX法対策でIT製品・サービスがどう役立つのかを解説する。

 「個人情報保護はSOX法対策」。こう誤解している読者もいるのではないだろうか。

 本誌は3月上旬、IT企業、コンサルティング会社189社にSOX法対策に役立つ製品・サービスの調査を実施した。予想を大幅に上回る112社から350件近い回答を得て、改めてSOX法対策にかけるIT企業の意欲の高さを感じた。一方で、SOX法を誤解しているIT企業の回答も目立った。

 自社製品に合うようにSOX法を拡大解釈する。インターネット上にある根拠のない情報を信じる。「SOX法=内部統制」と考えて、SOX法ではほとんど必要ないのに対策製品と称する。「法律で内部統制が義務付けられれば、内部統制市場が伸びる」という思惑だろう。だが、内部統制対策とSOX法対策は同じではなく、SOX法ではほとんど必要とされない内部統制も多い(図1)。


図1●SOX法対策では財務報告にかかわる内部統制強化が求められる
[画像のクリックで拡大表示]

 事実上の日本版SOX法案と言える金融商品取引法案には、米SOX法の302条や404条が反映されており、財務報告に不正やミスが出ない内部統制の仕組みを求めている。昨年12月に金融庁が公表した監査基準案にも、「財務報告に係る内部統制の評価及び監査」と明記されている。繰り返すが、財務報告にかかわる内部統制が中心である。

 日本版SOX法によってIT市場が生まれるのも間違いない。金融庁企業会計審議会内部統制部会の部会長を務める八田進二・青山学院大学大学院教授も、「日本版SOX法の内部統制対応には、ITが不可欠」と断言する。SOX法で出てくる企業の課題を把握し、正しい提案をすれば対策予算は獲得可能だ。

 ただし、「これさえあればSOX法対策は万全」という製品・サービスは存在しない。製品を導入すればすぐにSOX法に役立つわけでもない。様々な製品やサービスを組み合わせ、さらに使い方まで工夫して初めて、ユーザー企業のSOX法対策を支援するソリューションとなる。

企業の課題を明確にする

 SOX法対策の製品・サービスについて見る前に、まず、SOX法対策で企業が行う作業を理解する必要がある。SOX法対策では、内部統制の整備・運用状況を評価する。これは、財務報告の作成に際して不正やミスが起きないように統制する仕組みを整備しているか、仕組みに沿ってきちんと運用しているかを確認する作業だ。業務を支えるアプリケーションやシステム部門の関連業務を統制しているかも評価対象となる。


図2●SOX法対策の核となる内部統制の評価作業の進め方
[画像のクリックで拡大表示]

 評価作業は図2のように進める。最初の作業は、評価対象となる範囲や計画の策定である。財務諸表の項目を分析し、売上高や販売管理費といった重要な勘定科目に大きな影響を与える事業部門や連結子会社、部署、業務を内部統制の評価対象として設定する(図2のステップ1)。「スコーピング」と呼ぶこの段階で評価範囲を大きくしすぎると、その後の作業量やコストが膨れ上がる。反対に、範囲が小さいと監査法人の承認が得られず、手戻りが発生する恐れがある。「ユーザー企業を支援する際には、監査法人と相談しながら進めるのが基本」(富士通の五十嵐司マーケティング本部企画部部長)だ。


図3●内部統制に関する文書化で作成することになる業務フローとリスク・コントロール・マトリックス(RCM)の例
[画像のクリックで拡大表示]

 次が、評価作業の中でも手間がかかる文書化だ(ステップ2)。文書化するのは(1)業務フロー図、(2)リスク・コントロール・マトリックス(RCM)、(3)社内規定書や業務マニュアル類などである。業務フロー図ではプロセスに潜むリスクを明らかにする。RCMは業務フロー図で明らかにしたリスクや、リスクを軽減するための統制手段(コントロール)、監査のポイント(アサーション)を、業務や部署ごとに一覧表にする(図3)。文書化の後は、策定した文書が適切か、現場できちんと実践しているかを現場と監査部門が評価し、評価結果も文書化する(ステップ3)。

 膨大な数の業務を文書化・評価するため、企業によっては業務フロー図が数百種類、コントロールの数が1万個を超えることもある。ユーザー企業の負担が大きい半面、ソリューションプロバイダはSEによる支援策を提案するチャンスといえる。業務フロー作成に慣れている上に、RCMにはシステム処理上のリスクやコントロールなども記載していくからだ。

 文書化・評価が終わると、ほとんどの場合は統制上の不備が発見されるため、不備を改善することになる(ステップ4)。最後に、評価結果を基にした内部統制報告書を経営者がチェックし(ステップ5)、監査法人による監査を受ける(ステップ6)。

評価作業支援と改善支援を分ける

 KPMGビジネスアシュアランスの小見門恵執行役員マネージングディレクターは、「SOX法対策に欠かせないというITシステムはない」と指摘する。ただし「企業が抱える課題に応じて、役立つシステムはある」と付け加える。


図4●SOX法対策を支援するソリューションの分類
[画像のクリックで拡大表示]

 「役立つシステム」を理解するためには、SOX法対策を支援するソリューションが大きく2つに分かれることを理解しておく必要がある。評価作業などの「SOX法対策自体を支援するソリューション」と「評価作業で構築した内部統制の改善・維持を支援するソリューション(以下、改善・維持ソリューション)」である(図4)。

 SOX法対策自体を支援するソリューションは、市場規模に限界があるものの、案件は先に立ち上がる。代表的なものは、コンサルティングや、文書化・評価支援などの総合対策サービス。

 製品ではSAPジャパンの「SAP MIC」や日本オラクルの「Oracle ICM」、プロティビティジャパンの「SarbOx Portal」などのような、文書化・評価作業といったSOX法対策自体を支援するソフトだ。SOX法用の文書作成/監査支援、ドキュメント管理、証跡管理、ワークフローなどの機能やテンプレートなどを備える。現状は海外製ソフトが中心だが、三菱電機インフォメーションシステムズなど国内ベンダーによる開発も進む。

 一方、総合対策サービスは、主に評価作業を支援するサービスと、主にシステム部門にかかわる内部統制を支援するサービスに分かれる。後者はITガバナンスのフレームワーク「COBIT」などを基準にして、IT面の内部統制状況を診断、改善するサービスだ。表には、それぞれ総合対策(コンサルティング)、総合対策(IT統制)として載せている。

 総合対策(コンサルティング)では、KPMGビジネスアシュアランスやプロティビティジャパン、べリングポイントなどの専門コンサルティング会社が実績で抜きん出ている。総合対策(IT統制)は、これまでCOBITを基にIT統制を支援してきたソリューションプロバイダの参入が相次いでいる。ネットマークスのように、COBITとITIL(ITインフラストラクチャ・ライブラリ)を組み合わせた診断サービスで実績を上げる企業も出てきた。

 使い方次第では、eラーニングなどもSOX法対策の教育サービスとして評価作業の軽減に生かせる。実際に文書化・評価作業を行うのは現場担当者なので、SOX法の基礎知識や作業の進め方を知ってもらう必要がある。eラーニングは全国の現場担当者に短期間で、SOX法を理解してもらうのに有用だ。

後編に続く