日本版SOX法の実施基準に対応するポイントは？：IT担当者のための内部統制ガイド（6）（3/3 ページ）

[鍋野 敬一郎，＠IT]

「実施基準案」から見たIT活用のポイント

　「実施基準案」を何度も読み返していると気付くと思いますが、ITの活用ポイントは「内部統制の整備」を効率化するところと、「内部統制の運用」の負荷を軽減するところにあると考えられます。

　米国SOX法の実施基準は、PCAOB（Public Company Accounting Oversight Board：上場企業会計監視委員会）という米証券取引委員会（SEC）の下部組織が出している監査基準書2号ですが、4年目にしてその内容を簡素化すべく、改訂版（草案）が2006年12月19日に公開されました。

　これは、米SOX法対応が上場企業の財務の信頼性を向上させるために必要であったという半面、その対応作業量や対応コスト、監査コストの大幅な増加（約2倍）や中堅中小の上場企業に対する負担が大き過ぎるとの実状に対応した緩和策です。日本版SOX法では、こうした米国の状況を踏まえたうえで実施基準を策定していますが、その1つにITの利用による「内部統制の運用」の負荷軽減を挙げています。

　米国でSOX法対応を完了している企業の中でも、初年度の対応コストと2年目以降の維持コストとで大きく改善した企業と、そうでない企業で明確な差が出ているという報告があります。

　例えば、業務フローを記述したプロセスフローチャート（PFC）は、組織や業務プロセスが変われば当然そのドキュメントも書き換える必要があります。このPFC作成作業で最も多く使われたソフトウェアは、米マイクロソフトのExcelであったといわれています。

　しかし、当のマイクロソフトは、フローチャートの記述に適したVisioを採用していました。同時に基幹系システムもERPをベースとした整備（バージョンの統一やプロセスの標準化など）を行い、結果として「内部統制の運用」コストを初年度の半分以下にすることができたと発表しています。これは、内部統制対応を一過性のプロジェクトとせず、継続的な対応が必要なテーマとして取り組んだ成果であるといえます。

内部統制の整備以上に重要な内部統制の運用

　今年のIT部門の最重点課題が、「内部統制の整備」にあることはいうまでもありませんが、ITベンダもユーザー企業も“整備”に偏ったソリューションの提案や準備を進めているようなケースが多く見受けられます。

　内部統制対応コストは、直接利益に貢献することが難しいので、将来のコストを見据えた“運用”の効率化を意識した対応が求められるのではないでしょうか。

　筆者自身も、複数のベンダやお客さまと内部統制について、いろいろとお話しする機会があるのですが、“内部統制の運用設計や運用方針”という言葉をほとんど聞いたことがありません。IT部門は、運用の難しさや運用設計の重要性について理解がある部門ですから、ぜひ経営者や内部統制プロジェクトの事務局に対して、“整備”以上に“運用”も大切であることを語っていただきたいと思います。

著者紹介

鍋野 敬一郎（なべの けいいちろう）

1989年に同志社大学工学部化学工学科（生化学研究室）卒業後、米国大手総合化学会社デュポン社の日本法人へ入社。農業用製品事業部に所属し事業部のマーケティング・広報を担当。

1998年にERPベンダ最大手SAP社の日本法人SAPジャパンに転職し、マーケティング担当、広報担当、プリセールスコンサルタントを経験。アライアンス本部にて担当マネージャーとしてmySAP All-in-Oneソリューション（ERP導入テンプレート）を立ち上げた。

2003年にSAPジャパンを退社し、現在はコンサルタントとしてERPの 導入支援・提案活動に従事する。またERPやBPM、CPMなどのマーケティングやセミナー活動を行い、最近ではテクノブレーン株式会社が主催するキャリアラボラトリーでIT関連のセミナー講師も務める。

「IT担当者のための業務知識講座」バックナンバー

• “上から目線”の排除が、電子政府推進のカギ
• “愛とIT”が、医療介護の品質を決める
• 顧客の囲い込みに、ITが不可欠となる教育業
• 深い業務知識が、信頼できる金融システム構築の鍵
• 建設もITシステムも、成果は上流工程で決まる
• 電子書籍時代、印刷業は提案力とデータ管理が命
• 物流業の命は、「輸送」よりも「情報活用」にあり
• 製造業は“ITシステムの使いこなし”がキモ
• 卸売業の命はデータとニーズの“マッチング”にあり
• 小売の業務とIT利用　―POSとEOSによる店舗運営―
• ITマネジメントの本質を知る　―プロローグ―