日本版SOX法はIT部門にとって脅威か機会か？：システム部門Q＆A（34）（3/3 ページ）

[木暮 仁，＠IT]

内部統制にどう対処するか

理想的なアプローチ

　本法律によるまでもなく、内部統制は重要です。本来ならば、情報化計画や個別アプリケーション設計の段階から、内部統制の観点を盛り込んであるべきですし、そのためには、EAなどの方法論により、情報システムの可視化をするべきです。

　IT部門では、このような抜本的な改革を夢見ていたのですが、あまりにも大規模であり承認が得られない状況にありました。それを法律という錦の御旗が得られたのですから、千載一遇の機会だといえます。単に財務に関係する事項に限定せず、情報システム全体の見直しをするのが適切です。それが達成できれば、本法律対処のための労力や費用は十分に回収できるでしょう。

時間がない

　しかし、これは理想論です。高い成熟度を持つわずかな企業では、すでにそのようなアプローチをしていますが、一般の企業では「分かってはいるが、できる状況にない」ことが大多数です。

　本法律は、2008年4月から開始する年度から適用されます。それで、3月決算の企業では、2009年3月末までに内部統制確認書ができていなければなりません。基準案では、報告書における評価時点までに是正されていればよいとされているので、期間中での不備があってもよいとされていますが、実際に内部統制が適切に機能していることを示すには、2008年4月に内部統制の運用を開始することになります。

　さらに、運用開始したものが監査法人に認められないと、手直しが大変なのでリハーサルが必要だとすれば、それ以前に内部統制の方法を確立しておかなければなりません。

　ところが、ITの構築や改訂には多大な時間がかかります。しかも文書化対策が優先しますので、ITの構築や改訂は間に合わないと考えられます。

応急措置をどうする

　では、差し当たり、どの程度のことをしておけばよいかが問題になります。多くの企業が同じような状況なので、もし厳格な適用を受けるならば、不適正になる企業が大多数になるでしょう。行政も、それらすべてに罰則規定を適用するだけの毅然（きぜん）とした態度は取れないでしょうし、それで企業信用に多大な影響が生じることもないでしょう。

　「赤信号、みんなで渡れば怖くない」ともいえます。そうなると、他社平均レベル程度になっていれば、少なくとも初年度は大丈夫だといえるのではないでしょうか。

　そのレベルとは何かは私には分かりませんが、法律の趣旨からすれば、財務処理に重要な欠陥が生じないように内部統制ができる仕組みであることを示すことが重要です。例えば、入力データの正確性を維持するシステムを構築するのが間に合わないならば、それを有効に活用するには労力的に困難があるとしても、入力データのリストを出力して、管理者の承認印を押させる仕組みにするのは比較的容易ですし、不正な利用を禁止する手段はできなくても、アクセスログを収集することやその分析システムの着手を始めていることを示すことはできましょう。

監査法人とのコミュニケーションが大切

　応急措置をどうするかについては、まず監査法人の監査をパスすることが目標になります。

　基準案では、米国ほどの厳格性を求めると企業負担が大きくなることから、監査法人の直接監査は求めない、会計監査と同一監査法人でもよい、財務に重大な影響を与えるものに限定するとしています。しかし、明確な実施基準の公表が遅れている現在では、監査法人としても判断のよりどころがありません。実施基準が公表されても、かなり玉虫色なものになるかもしれません。

　本法律ができた背景には、監査法人も巻き込んだ虚偽財務報告事件があります。それで、監査法人としては責任追及を回避するためにも厳格な対応を要求することが考えられます。しかも、大手の監査法人は米国でのノウハウを持っており、それを売り物にしています。すると、解釈を厳格にして、米国と同様なレベルの適用を求めるかもしれません。

　すなわち、企業も監査法人も暗中模索の状態なのです。ですから、監査法人とのコミュニケーションを良くして、自社の状況を理解してもらい、応急措置をどうするかについて相談を重ねておくことが重要になります。

経営者にITの重要性を

　当然、経営者は本法律への対処には大きな関心を持っています。経営者自身もかなり多忙になるでしょう。半面、ITのことはIT部門でやってくれということになる危険があります。費用的な措置はしてくれるでしょうが、このプロジェクトでは、情報システム構築以上に、各部門の相互協力が必要になりますので、そのマネジメントをIT部門に押し付けられても困ります。

　早い段階で、ITが関連するプロジェクトの重要性を認識してもらい、全社的な体制を発足させることが必要です。

IT部門にとっての機会：

とかくIT部門は経営者や現場部門とのコミュニケーションが少ないといわれています。

しかも、特定のプロジェクトでの話はするものの、IT全般に関する話題を話す機会は少ないでしょう。内部統制対処は、経営者や業務部門へこのような話題に当事者としての関心を持たせる機会でもあります。

まとめ

1. 内部統制にITの活用は不可欠だ。文書作成のツールとしてITが不可欠になるし、そもそも情報システム化することが内部統制になるのだ
2. システム監査やセキュリティ対策の経験は内部監査に役立つ。でも、それらと内部統制との違いを認識することが大切だ
3. 情報システムの抜本的見直しをする千載一遇の機会である。余裕があるならば、それに取り組むべきである
4. しかし一般の企業では余裕がない。長期的な対応と当面の対応を切り分けることが必要だ。その当面の対応も不確定である。監査法人・経営者とのコミュニケーションを密にすることが大切だ
5. 内部統制対策を脅威としてだけとらえるのではなく、経営者や業務部門にITを理解させる機会ととらえることができる

この記事に対するご意見をお寄せください　managemail@atmarkit.co.jp

筆者プロフィール

木暮 仁（こぐれ ひとし）

東京生まれ。東京工業大学卒業。コスモ石油、コスモコンピュータセンター、東京経営短期大学教授を経て、現在フリー。情報関連資格は技術士（情報工学）、中小企業診断士、ITコーディネータ、システム監査など。経営と情報の関係につき、経営側・提供側・利用側からタテマエとホンネの双方からの検討に興味を持ち、執筆、講演、大学非常勤講師などをしている。著書は「教科書 情報と社会」（日科技連出版社）、「もうかる情報化、会社をつぶす情報化」（リックテレコム）など多数。http://www.kogures.com/hitoshi/にて、大学での授業テキストや講演の内容などを公開している