PR

「金融商品取引法」に盛り込まれた内部統制制度(日本版SOX法)の実施基準案が11月21日に公表された。その内容はITサービス業界にばら色ではない。長い視点で商機をつかむ戦略が必要だ。

 「これで当社製品は、間違いなく『SOX法対策に有効』と言えますね! 我々も支援しますので、どんどん売って下さい」。金融庁が実施基準案を公表して以降、伊藤忠テクノソリューションズ(CTC)BI&セキュリティ推進課の市川順之課長には、勢い込んだベンダー担当者のこんな電話がよくかかって来るという。

 確かに今回の案には「適切なアクセス管理ができているか」「作成した記録は5年間保存すべき」など、ITベンダーが小躍りする文言が随所にある。しかし市川課長を含め、「ユーザーはもっと冷静で、基準案は直ちにIT商材の需要を喚起しない。むしろ、当初は手間が掛かって儲からない」と指摘する関係者は多い。

 今回の案を契機に、8割近くあるという日本版SOX法対策に未着手だった企業も確実に動き出す。ではITサービス業界は商談にどのように臨むべきか。

評価の絞り込みも監査人次第

 今回の実施基準案は、(1)評価基準などにメドとなる数値目標を明示、(2)米SOX法の反省を踏まえ、企業が行う作業に無駄・手戻りが起こらないよう配慮―などの点が特徴だ。

 (1)の数値目標は、虚偽などの影響額が「税引き前利益の5%以内」に抑えられた場合に「内部統制は有効」と判断することが、最も重要な点である(図1)。

図1●実施基準案に見る内部統制の評価手順と範囲の決め方
図1●実施基準案に見る内部統制の評価手順と範囲の決め方
「重要な欠陥」がない場合、「財務報告に係る内部統制は有効である」と報告書に書ける
[画像のクリックで拡大表示]

 経営者が行う評価作業にも、絞り込みの条件を明示。まず「全社的な内部統制」を評価し、その結果が「有効」ならば「売上高の3分の2以上を占める事業」に対象を限定できる。内部統制で最も負荷が大きい業務の文書化を、その分だけ軽減できる。今回の案が「産業界の声にも耳を傾け、米国より企業の負担を軽減した」(金融庁企業開示課)といわれるゆえんだ。

 (2)の無駄・手戻りを防ぐ最大の配慮は、経営者が作業の節目ごとに監査人と事前協議することを容認した点。例えば、評価(文書化)の範囲を決めたら監査人の合意を取ることができ、内部統制の整備前にはその対策が有効かどうか、意見を求めてもよい。

 ただし注意が必要なのは、監査人の判断次第では、作業の量や質は決して緩くならない点だ。例えば評価範囲の絞り込み。トーマツ企業リスク研究所の久保惠一所長は、個人的見解としながらも「全社統制が良好でも、顧客企業には大半の事業部門を評価対象にするよう求めるべき」と断言する。なぜなら監査人が最も重視するのは「利益の5%まで」という監査の“精度”。この基準がある以上、「売上高の3分の1近くを評価しないリスクは大きすぎる」(久保所長)。例外は、同一の業務プロセス、同一の情報システムを全店舗に展開している流通、飲食チェーンなどに限られるという。

監査人、顧客と三者協議を

 この実施基準案からまず読み解けるのは、「ソリューションプロバイダも積極的に顧客の監査人と協議を持つべき」ということだ。顧客に無駄・過剰な対策を提供しないためにも、コンサルタント任せではいけない。「提供するソリューションの有効性を監査人がどう見るか」という裏付けが、顧客の信頼を勝ち取る近道になる(図2)。

図2●実施基準案などで明らかになってきた、内部統制商談での注意点方
図2●実施基準案などで明らかになってきた、内部統制商談での注意点
[画像のクリックで拡大表示]

 独立性の観点から、監査人は合格するための「答え」や「ヒント」は教えない。当然、監査人にぶつけるべきソリューションの手駒は多く用意した方がよい。

 今回の基準案では、IT統制に対する監査項目も見えてきた。例えばIT全般統制は、監査人が証拠を得ながら、システム調達やテスト体制、データの保全、業務委託先の管理体制などをチェック。財務にかかわる業務システムは、監査人が設計書に目を通したりデータをサンプリングしたりして、動作や運用状況を監査する。

 このIT監査自体は、既に上場企業に実施されている内容とほぼ同じ。ただし今回は、まず経営者自らがIT統制を評価してから監査を受ける点が、従来と全く違う。

 今後、大半の企業はまずIT全般統制や個々の業務システムの評価作業に忙殺される。「追加開発を設計書にきちんと反映してくれ」「稼働テスト結果を文書化して」。ソリューションプロバイダは、このような手間がかかり利益になりにくい対応を顧客から求められそうだ。ERP(統合基幹業務システム)パッケージでも、カスタマイズが生じていればその文書化が求められる。

 一方でシステムの再構築やID統合管理システムの導入といった新たなIT投資は、当初からは期待しにくい。「顧客はまず運用でカバーすることを選択する」と見る関係者は多い。

 もっとも悲観することはない。運用でのカバーには限界もあるからだ。実施基準に沿った内部統制の取り組みは、長期的にはインフラ整備やセキュリティ関係などのIT投資につながる。

 導入の初年度までは、顧客との関係を深める「種まきの時期」と割り切り、長期の視点で収益を確保する。そのシナリオを作りを急ぐ必要があるだろう。