IT部門も大混乱？ 日本版SOX法に今から備えよう――監査法人トーマツ丸山氏：Interview（6/7 ページ）

[聞き手：堀哲也，ITmedia]

ITmedia　日本企業の文書化の状況は進んでいるのでしょうか？

丸山　メインフレーム時代は、システム開発において開発手順、要件、テスト仕様などをきっちり定義して行わなければシステム自体が出来上がりませんでした。そのため、文書化はしっかり行われてきました。それが今ではプロトタイピングによるシステム開発がほとんどでしょう。文書が残らなくてもシステムが立派に稼働してしまいます。

　繰り返しになりますが、監査人は文書がなければどういうルールでシステムを作成したのか確かめようがありません。ソースコードを全部確かめるわけにはいきませんから。そうならないためには、システム開発のルールや運用のルールをしっかり文書にして、「ちゃんとやっていますか？」と尋ねられたときに、文書と記録を付き合わせられるようにしておかないといけません。

　米国の場合では、Enronの事件で記録がなくなって裁判上問題が起こりました。そこでSOX法では、監査人に対して記録の保持を求めると同時に、企業に対しても記録を残すことを規定しました。SOX法とともに電子メール保管の話がよく出てきますが、今はメールで指示を出していたり、承認を行うというプロセスが取られていることから証拠保全のために必要になるためです。ルールの文書化と記録というのはそういう意味でも重要な要素になってきます。記録をどこまで残すかという問題は、何を立証したいのかによって変わってきます。

日本版SOX法は連結ベース、ITガバナンスも密に関係

　これらの話はITガバナンスにも非常に大きく関係してきます。日本版SOX法の話はすべて連結ベースで進んでいるからです。例えばソフトバンクであれば、内部統制はその子会社全部にかかってくることになります。もし買収した企業などがあれば、ルール自体が異なってきます。少しの違いは問題となりませんが、大きな違いがあれば、それぞれの会社がそれぞれ文書化して監査しなければならなくなります。