実施基準が打ち出されたJ-SOX法 ── だが、どのように内部統制する?企業に変化活用力とガバナンスをもたらすサンの内部統制ソリューション

サン・マイクロシステムズと内部統制 ── にわかには結びつかないが、同社には企業に変化を活用する力を与え、さらにガバナンスを徹底するソリューションがある。そして、何よりも本家のSOX法に対応する中で学んだノウハウがある。「内部統制の構築段階から考慮すべきIT活用の原則は、自動化、集中化、そして標準化だ」とする同社の野々上仁ビジネスガバナンスプロジェクトリーダーに話を聞いた。

» 2007年03月26日 00時00分 公開
[PR/ITmedia]
PR

 昨年11月、いわゆる「日本版SOX法」で義務付けられる内部統制整備の実務的なガイドライン、実施基準案が金融庁から一般公開された。対応すべき範囲が売り上げの2/3をカバーすればよく、日本の産業界は、本家のサーベンス・オクスリー法に比べて範囲が絞り込まれたことを一様に歓迎している。

 まるで黒船来襲のように右往左往していた多くの日本企業も落ち着きを見せているが、2008年4月1日以降の開始事業年度から上場企業は、内部統制が有効であると経営者が主張する、つまり、内部統制の有効性を経営者が自己評価する「内部統制報告書」を提出しなければならないことに変わりはない。公認会計士も、そうした経営者の評価結果が適正であるかを監査し、「内部統制監査報告書」を作成、保証を付与することが求められる。

photo 普段はパートナー営業を担当する野々上氏だが、組織横断型プロジェクトのリーダーも務め、日本の企業に向けた内部統制ソリューションを推進している

 「実施基準案は、何をどの程度やればよいかの指針となる。しかし、当然のことながら、どのように内部統制を実施していくかは示されていない」と話すのは、サン・マイクロシステムズでビジネスガバナンスプロジェクトを率いる野々上仁氏。

 ビジネスガバナンスプロジェクトは、昨年7月に発足した。昨年春から社長を務める末次朝彦氏が、日本独自の成長戦略を描く中で生まれた組織横断型の取り組みだ。企業の価値は、投資家から見れば、「リスク」と「リターン」に集約される。同プロジェクトでは前者にフォーカスし、サンのITソリューションによって顧客企業を支援していくのが狙いだ。


自動化、集中化、そして標準化が内部統制のコツ

 多くの日本企業が、内部統制の監査用文書を作成する、いわゆる「文書化」に取り組んでいるが、それは最初の関門にすぎない。

 野々上氏は、「内部統制の有効性を評価・改善・証明していくことが企業にとっては永続的な負荷となる。われわれ自身がSOX法対応で学んだ継続的な内部統制のポイントは、ITを活用した自動化、集中化、そして標準化だ。サンであれば、そのソリューションを提供できる」と話す。

 内部統制の対象が売り上げの2/3とされたことで、監査上の要点も、「売上」「売掛金」「棚卸資産」といった重要な勘定科目を支える業務プロセスに絞り込むことができる。こうした重要な業務プロセスを支える業務処理システムにおいて、データの網羅性、正確性、正当性、および維持継続性を確保するためにIT業務処理統制を実施し、それらを支えるIT基盤やIT環境をIT全般統制によって保証していくことになるのだが、実施基準案では、内部統制の構築に関して特に重要なポイントも示されている。「職務分掌」「アクセス管理」「変更管理」、および「記録保存」だ。

 サンでは、内部統制の構築でこれらの重要なポイントを有効に機能させ、徹底するためには、構築段階からITを活用した、自動化(Automate)、集中化(Centralize)、そして標準化(Standardize)、つまり「A・C・S」がカギを握ると考える(図1参照)。

photo 図1 構築段階から考慮すべきIT活用の原則 (クリックすると画像が拡大します)

職務分掌の徹底には「自動化」が不可欠

 例えば、不適切な承認が行われないよう、入力する人と承認する人をきちんと分けて、職務の分掌を表で作成したとしよう。しかし、大抵の企業では1年も経てば組織は変わってしまう。担当者の異動もあれば、入力する人に承認権限が与えられてしまうこともある。これらを手作業ですべてチェックできるだろうか。雇用形態もさまざまある大企業であれば、もはや不可能だ。

 「アイデンティティー管理製品によって、人とシステムのアクセス権限を一括して管理し、職務分掌の自動化を図る必要がある」と野々上氏。

 同社のSun Java Identity Management Suiteは、職務分掌がポリシーに基づいて適正に実施されているかをレポートする監査モジュールも用意されている。ちなみに大手顧客の要求に基づいて開発された機能だという。

リスクとコストを低減する「集中化」

 大半の企業では、業務プロセスはアプリケーションによって処理されていく。これまでのように、あるシステムから得られたデータをExcelで加工して、別のシステムに入力する、といったやり方では、データの正確性や整合性を確保するためのIT業務処理統制は難しい。分断化されたシステムでは、人手による目視確認や手作業がリスクとなるため、すべて統制の対象となるからだ。

 IT全般統制も同様で、システムが3台に分かれていれば、それぞれ3回IT全般統制を実施しなければならない。 「アプリケーションだけでも連携させることができれば、データの整合性確認は自動化でき、業務プロセスの最初と最後だけを業務処理統制すれば済む。これらは毎年繰り返し実施しなければならない。早くシステム連携できれば、それだけ負荷を減らすことができる」と野々上氏。

ITガバナンスを効率良く構築する「標準化」

 IT全般統制は、IT業務処理統制が健全かつ有効に機能する基盤や環境を保証する統制だ。その範囲は、IT戦略、企画、開発、運用、保守といったITプロセス全般に及ぶ。

 野々上氏は、「属人的なプロセスを排除することがリスクを低減する。これがIT全般統制には不可欠だ」と話す。Sun自身、業界標準のフレームワークを組み合わせてITプロセスを標準化し、属人性や曖昧性、複雑性を排除しているという。統制の対象は「COBIT」(Control Objectives for Information and related Technology)によって網羅し、ITプロセスの統制をどのように実施するかはベストプラクティスがまとめられている「ITIL」(Information Technology Infrastructure Library)などを利用している(図2参照)。

photo 図2 サン内部での利用例。業界フレームワークを利用し、ITプロセスの標準化を図って、属人性・曖昧性・複雑性を排除する (クリックすると画像が拡大します)

 「業界標準のフレームワークによって、ITガバナンスを効率良く構築できる」と野々上氏。 同社では、ITILベースでITプロセスを標準化する支援サービスも提供しているという。

 「われわれは、オープンシステムのリーダーだ。これまでにも大量のシステムを企業のデータセンターに納入してきた実績がある。環境を改善したり、運用スキルを向上させたいと考える顧客のニーズに応えることで、われわれにもさまざまなノウハウが蓄積された」と野々上氏は話す。

競争力は変化活用力とガバナンスの徹底から

 企業の業務上のリスクは、「管理工数」や「管理対象の数」、および「管理の複雑化」といった内部要因に、「外部環境の変化」という外部要因が掛け合わされ、「人手による管理」の限界を超えたときに著しく増大する。これはSun自身が、SOX法に対応する中で学んだことだという。

 前者の内部要因をうまくコントロールするのが内部統制だというのは、既に触れてきたとおりだが、野々上氏は、「外部環境の変化に対しては、“対応”にとどまらず、逆に変化を“生かす”ことで競争力を生み出すこともできる。そのための土台を日本の企業に提供したい」と話す。

 経済のグローバル化や規制の緩和、資本市場の成熟化と消費の多様化といった未曾有の課題を前に、カバナンスの徹底だけでは、企業が立ちゆかないことは言うまでもない。競合会社は突然現れ、今後は企業買収も日常茶飯事になるだろう。人やビジネスプロセス、そしてビジネスルールも変化する。企業には柔軟性が求められ、機動力が成否を分けるようになるはずだ。

 「Sunは、TCP/IPを組み込んだワークステーションを世界で初めて生み出した。以来、インターネットやJavaを創造し、あらゆるシステム環境に対して、セキュアでシームレスな接続性や拡張性を提供してきた。われわれが提供するソリューションは企業が変化を活用する力になるはずだ」(野々上氏)

ホワイトペーパーダウンロード

ホワイトペーパー「変化の活用力×ガバナンスの徹底 = 企業競争力」が、TechTargetジャパン ホワイトペーパー ダウンロードセンターで入手できます。


Copyright © ITmedia, Inc. All Rights Reserved.


提供:サン・マイクロシステムズ株式会社
企画:アイティメディア営業本部/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2007年4月30日