日本版SOXを企業が味方につけるために：ITによる内部統制の実現

金融庁の企業会計審議会が「財務報告に係る内部統制の評価及び監査の基準」を草案として公開した。これは、いわゆる日本版SOX法と呼ばれるものの原案だ。企業の内部統制の重要度が急上昇する中で、ITをいかに活用するかが焦点になっている。

[谷川耕一 ，ITmedia]

　金融庁の企業会計審議会が、7月13日付けで「財務報告に係る内部統制の評価及び監査の基準」を草案として公開した。これは、いわゆる日本版SOX法と呼ばれるものの原案だ。米国のエンロン事件をきっかけに、企業の内部統制の重要度が急上昇している。

　米国ではサーベンズ・オクスリー法（SOX法：企業改革法）の施行で、経営者による企業の年次報告書の開示が適切であることの宣誓と、内部統制報告書の作成が義務付けられている。日本においても最近発生したカネボウや西武鉄道などの事件の例もあり、日本版SOX法の早期導入が望まれている。日本版SOX法が施行されるに先立ち、企業の情報システム部ではどのような準備をおこなえばいいのだろうか。

ITによる内部統制の実現とは？

　一言で、「企業の内部統制」といっても、いったい何をすれば適切な統制が実現するのか。社内統制の環境はもちろん、必要な情報の迅速な伝達や日常的な社内活動のモニタリングなど、企業がやるべきことは多岐に渡る。米国のSOX法が施行されたタイミングで、まず企業が導入やシステムの見直しを図ったのが、ERPや会計システムだ。SOX法に準拠できるような正確かつタイムリーな財務情報の開示を可能にするには、全社規模での会計システムの導入は必須になる。

　ところで、米国のSOX法において、システムに直接言及する記述は見当たらない。関連するといわれているのが、Section 404の「内部コントロールの評価」とSection 409の「迅速な情報公開」の2つだ。内部コントロール（統制）の評価では、適切な財務報告をするための内部統制の仕組みと手続き、それらの有効性の評価を義務付けている。

　そして、迅速な情報公開では、文字通り財務状況や商取引に重大な変化を及ぼす事象の速やかな開示の義務だ。この2つを実現するために会計システムの整備をというのは容易に考えられることで、いまやこれを避けて通ることはできない。しかしながら、会計システムだけで、内部統制の評価を実現できるわけではない。

　SOX法でいうところの内部統制を実現させる枠組みが、COSO（The Committee of Sponsoring Organization of the Treadway Commission）のフレームワークだ。COSOの内部統制のフレームワークに呼応する、ITコントロールのフレームワークがCOBIT（Control Objectives for Information and related Technology）となる。

　つまり、COSOが内部統制の構成要素を示し、COBITが個々の構成要素を実現する具体的なITの目標となっているのだ。COBITでは、「企画・計画と組織」「IT調達と開発」「デリバリと支援」「モニタリング」の4つが定義されている。これらを達成するために、さまざまなアプリケーションやソフトウェアを活用することになる。

　SOX法に対応するシステム要素としては、以下のようなものが挙げられる。

• コンテンツ管理
• ドキュメント管理
• ナレッジ管理
• セキュリティ対策（アクセス制御、改竄の防止）
• フォレンジックに対応するログ管理
• ビジネスプロセス管理（承認フローなど）およびBAM（Business Activity Monitoring）
• ポータル画面を含むビジネスインテリジェンス（リアルタイムな情報開示）
• ストーレージソリューション
• システム運用管理

　SOX法の対象となる範囲は広いので、もちろんこれら以外にも関連するITシステムはあるだろう。さていったい、これらのどこから手をつければいいのだろうか。セキュリティ、コンテンツおよびドキュメント管理も重要であり、優先順位は付けにくい。

　時間をかけてじっくりと決めたいところだが、じつは残された時間はあまりない。2008年3月期から日本版SOX法が有効になると、対象となるのは2007年の4月からの企業活動だ。つまりこの時点ではSOX法に対応するためのシステム群は本番稼動をすでに始めていなければならないのだ。

　そうなると、遅くとも2007年の初旬までにはカットオーバーを迎えている必要がある。つまり、構想から設計、開発に残された時間はすでに1年4ヶ月を切っているのだ。

情報システム部はどうするべきか

　実際にSOX法が施行され、対応するために監査人から情報システム部にはどんな要求がくるのだろうか。「米国のSOX法に対応しようとしている企業で、監査人から社内ヘルプデスクの日々の業務ログの提出を求められたという事例もある」と話すのは、東芝ソリューションのプラットフォームソリューション事業部 参事 花井克之氏。

東芝ソリューション プラットフォームソリューション事業部 参事 花井克之氏

　同氏は「内部統制を確認するためには社内の運用管理アクティビティをトラッキングする仕組みが必要」と話す。しかし、ここまで厳密にログを残そうという発想を持つ情報システム部所属の人間は、現段階では多くないだろう。つまり、内部統制の仕組みを導入しているだけでなく、それが適切に機能していることを証明しなければならない。ヘルプデスクのログが「証拠」になるわけだ。

　つまり、日本版SOX法でも明確にうたわれている「IT（情報技術）の利用」をどのように実現するかということ。SOX法対応のアプリケーションをいくつ導入したとしても、実運用が確実に実施されていなければ、ITによる内部統制の実現はなされていないことになる。

　情報システム部では、SOX法に対応するためのアプリケーションの導入を早急に考えるだけでなく、同時に、正確かつ信頼のおける運用管理についても考えなければならないのだ。「わが社にはコンテンツ管理システムが導入されていない」とか、「この際新たなアクセスコントロールの仕組みを入れよう」など、計画性もなく個々にシステム化を検討していたのでは、会社全体の内部統制は実現できない。まず社内の運用プロセスを確立し、手順やアウトプットを明確化する必要がある。この問題に対する1つの回答がITILの導入と言える。

SOX法対策にはITIL導入が効く

　ITILは、ITインフラストラクチャの略称で、ITサービス管理のベストプラクティスを集大成した教科書のようなものだ。1990年代から多くの実績があり、ITサービス管理のデファクトスタンダードとなりつつある。

　このITILのプロセスが、先に示したCOSOの構成要素とCOBITの目的にほぼ確実に対応しているのだ。東芝ソリューションでは、日本版SOX法への対応要求に対し、単純に個々のアプリケーション導入を勧めるではなく、ITILによる運用アセスメントから入り、確実な運用管理の実現を提案するという。

　これは、SOX法対応をうたっているアプリケーションの導入が、必ずしもすべての企業に必要ではないからだ。むしろ、既存の会計システムやそのほかの社内システムを適切に運用管理することで、多くのITによる内部統制を実現できる可能性がある。

　SOX法に対応するためにAという機能が必要と考えるのではなく、適切な管理運用により確実な内部統制を実現する。そのために、どういうシステムや機能が必要かを考えるべきなのだ。

　ところで、ITILの本来の目的は、企業が運用するシステムを最適化し継続的にビジネスを成長させることにある。それには、システムの運用管理や改変、新規導入の際に、つねに数年後のビジネスを見据えた戦略的な視点で取り組む必要がある。

　そのため、ITILの導入には経営層の理解と関与が不可欠だ。日本版SOX法への対応は、本来企業がおこなうべき内部統制を本格的におこなうきっかけと捉えるべきだ。そして、ITシステムに関する内部統制の実現方法として最適なのが、ITILということになる。

　日本版SOX法に対応するために社内フローの変革やITILの導入を差し迫った要件として検討するのではなく、チャンス到来と捉え戦略的な視点で内部統制を改革しようと考えるべきなのだろう。この中長期的で戦略的な視点こそが、本来のITILの目的でもあり、ITIL導入のプロジェクトがうまく進めば、ITに関連する内部統制はおのずとSOX法対応になるはずだ。

　花井氏は、「SOX法対応とITIL導入により、これまで影で管理作業をしていたIT部門が前面に出てこなければならなくなる。そして、仕事のやり方も意識も変える必要がある。同時に、経営者はITを専門家任せにしてしまうのではなく、企業の中でITをどう使っているかを把握し、それに対して責任を持たなければならなくなってくる」と話している。

　日本版SOX法の施行を前に、IT部門の担当者はもちろん、経営者も早急かつ大きく意識改革をする必要がありそうだ。