日本版SOX施行まであと2年、米SOXで先行した日立

自社で米SOXを先行導入した日立製作所。2008年に施行開始予定の日本版SOX法に向けて、実践的なノウハウを蓄積している。

» 2006年08月25日 00時10分 公開
[ITmedia]

 日立製作所は、7月に行った主催カンファレンス「HITACHI Open Middleware World 2006 Summer」で新たな方向性を見せた。

 このカンファレンス「HITACHI Open Middleware World」は、同社が定期的に行っているもの。最近の傾向を振り返ってみると、2004年には統合プラットフォームである「BladeSymphony」の発表、その後には象徴する「uVALUE」コンセプト、さらにITILやSOAなどサービス統合の優位性などが語られてきた(関連記事)。これまでの傾向としては、IT基盤の統合によってどのような真価が得られるのか? がテーマの中心となっていた。

 そして今期、同社が大きなテーマとしたのは「日本版SOX法への具体的な対策」である。

 BladeSymphonyやSOA導入による統合化を手段の一つとして、さらに日立がアピールし出したのは、迫り来る日本版SOX法施行への対応策だった。

2008年の施行開始に向けて急務となる対策

 「内部統制」「コンプライアンス」「日本版SOX法」。これらのキーワードは今後、いっそう企業への課題として問われていくはずだ。その行き着く先には、2008年(2009年3月決算から適用)の日本版SOX法(J-SOX)施行が挙げられる。

 日立製作所、ビジネスソリューション事業部ITソリューション部上席コンサルタントの伊藤泰樹氏は、日本版SOX法で特徴ともいえるITとのかかわりについて、「HITACHI Open Middleware World 2006 Summer」で解いた。伊藤氏が講演内で「内部統制とは、リスクに対する予測不可能から予測可能にするためのもの」と言及したように、法律主体でSOXをとらえるよりも、業務におけるプロセスの一部として取り入れられるかが重要だという。

 伊藤氏のコメントにリアリティさを加えているのは、すでに日立製作所が米国版のSOX法に基づき、2年間の実績ある構築と運用を行ってきた点だ。日立では、米国のSOXに従って内部統制を実現し、そのノウハウを蓄積してソリューション展開を行っている。

 同氏のコメントでITと密接に結びつく象徴的なコメントとなったのは、日本版SOX法の監査においては、有効性をテストするためにサンプリングが最低25件なければならず、このサンプル数は1システムにおいてのものだという点だ。つまり統合化されているシステムであれば、グループ会社間であってもサンプリングが共有できることを意味する。このことからも、伊藤氏は統制環境の真価を強調している。

 さらに、日本版SOX法実施における内部統制で重要なことの一つには、リスクの可能性を誰がチェックするのか? 責任者の承認をコントロールできているのか、というリスクとコントロールの管理こそがポイントだという。日立の場合には、段階的な導入ではあるがグループ会社を対象に230社が対象となっており、前述したように米SOX法を元とした統制を行っている。

 同社で約1年をかけての取り組みでは、現状把握のための規則などの文書化が大半を占めたことを伊藤氏は明かし、これまでにIT部門は何を行ってきたのか? 財務報告がどのようにシステムに依存しているのかなどが着目点の1つになったという。

 業務プロセスとITのかかわりは、どのシステムがどのデータを制御しているのかなど、一つずつ洗い出すしかなく、特効薬のようなものはない。同氏はさまざまな企業コンサルタントを通して得た傾向についても語ったが、例えば財務システムにおいて会計パッケージによるIT化はよいが、調達して入出金する場合、途中で印刷物などになってしまい、管理が行き届かないケースも多々見られたという。このような場合には、適切なIT化こそが統制の第一歩となり、常に財務状態を監査できるよう整備されていなければならない基本になると指摘した。

 日立では、これまでの統合プラットフォームBladeSymphonyを中心として、SOA推進を軸とする戦略があったが、引き続き基軸の一つにはなるものの、日本版SOX法への対応も大きな共通キーワードとなりつつある。

 何のためのためのIT化なのか? 企業は今、社会的貢献から企業倫理を問われる段階へと変わりつつあるのだ。

Copyright © ITmedia, Inc. All Rights Reserved.