“攻めのSOX法対応”を実現するためには？：IT担当者のための内部統制ガイド（1）（1/3 ページ）

3月10日、日本版SOX法を含む「金融商品取引法案」が閣議決定され、国会に提出された。成立した場合、企業に適用されるのは2008年4月（2009年3月期）になる。迫り来る法規制に対応するため、経営陣は内部統制強化のためにさまざまな要求をITシステム部門にしてくるだろう。ITシステム部門はどのように対応していけばよいのだろうか。

　最近、「内部統制」という言葉をよく聞くようになったIT担当部門の方々が多いのではないかと思います。

　また、情報システム部門にも、社長や財務担当役員などから「わが社も内部統制に対処すべく関係部門と体制を組んで早急に取り組んでほしい」という話が持ち掛けられていると思います。そこでは、内部統制においては「ITで何に対応すればよいのだろうか？」という話になるのではないでしょうか。

　IT業界のみならず、新聞やニュースで「内部統制」や「コンプライアンス」といったキーワードが連日登場しています。社長などの経営者向けや、監査役や財務担当役員向けのセミナーも盛況で、米国の状況や事例、対応できなかった場合のペナルティについて危機感迫る話や、日本における今後の対応動向について、いろいろ紹介されています。こうした場所で必ずキーワードに、“対策の鍵はIT活用にある”という一言が登場します。特にIT系ベンダが主催する内部統制セミナーに参加すると、米国の事例とその対策ツールを事細かに知ることができます。しかし、素朴な疑問として“対策の鍵”であるIT活用はこうした“内部統制対応製品と称するもの”をそろえることではないと思うのです。

　こうした疑問に対して、現時点で明確な回答と分かりやすい説明を提供してくれる情報源はなかなか見当たらないようです。

　「内部統制」対応のコストですが、米国の事例だと1社当たり、数億円もの対策費用を支出したというレポートがあります。当然この中には、社員が作業した内部工数は含まれていませんから、これも含めると「内部統制」対応には莫大な費用と作業が必要ということがイメージできます。

　米国の事例の場合、IT化の支出は数億円の3〜4割程度といわれていますが、一方でIT化が理由で「内部統制」への対応に、“重大な欠陥がある”や“不備”という外部監査評価をされた企業が多数あります。また、IT化は統制環境やシステム対応といった分野以外にも、社員教育や情報共有といったエデュケーションやコミュニケーションを効率化する手段として有効です。eラーニングやコンテンツ管理システムなどを活用してコストを抑制することもできます。

　日本版の「内部統制」、正確には日本版企業改革法（日本版SOX法）の場合は、主に上場企業（非上場企業の大手企業も含みます。資本金5億円以上、負債200億円以上）においては必須です。その期限も、3月10日に日本版SOX法を含む「金融商品取引法案」が閣議決定され、2008年4月（2009年3月期）までに行わなければならないと決まりました。しかし、対応のための公開草案はあるものの、確定したガイドラインは内部統制部会が5月上旬〜中旬に発表するとしており、まだ公開されていません。各企業の本音としては、先行する同業他社を参考にして、できるだけ最小限の労力とコストで切り抜けたいところだと思いますが、今回に限っては、残された期限から考えると、そろそろ具体的な対策活動に入る必要があります。

　もし「内部統制」対応が遅れたりした場合ですが、企業の評価が下がるのみならず、米国では上場廃止となった例もあり企業の存亡にもかかわるリスクが考えられます。金融商品取引法案には、「企業の経営トップが作成する『内部統制報告書』を偽った場合は、5年以下の懲役もしくは500万円以下の罰金、または両方の罰則を科す」と書かれています。日本版SOX法の特徴は、「ITへの対応」を要素にあえて追加していますので、IT担当者として心構えが必要です。

　こうしたIT担当者のお悩みをできるだけ同じ視点で共有し、その具体的な対策について対策のポイントを考えていきたいと思います。全部で6回の連載を予定しておりますが、財務や法務、監査といったレベルの課題ですので、IT担当者にとってなじみのない言葉や考え方が出てくると思いますが、できる限り分かりやすくご紹介することを心掛けます。第1回となる今回は、やはりまず内部統制とITの関係についてご説明いたします。

内部統制とITの関係とは？

　「内部統制」こと“日本版企業改革法（日本版SOX法）”が、いまこれほどまでに話題になっている理由は、エンロン事件やライブドア事件などの報道からも、よくご存じかと思います。また、内部統制に関する各種セミナーやWebサイトでも、背景などについて詳しく説明されていますので、いまさらここで事細かに説明する必要はないかと思います。

　いずれにしても、IT担当者として知っておかなければならないのは、自社の内部統制対応方針にITをどのように組み込んでいくのかということです。またITを組み込む姿勢として、“法律だから対応する”という受け身の姿勢ではなく、できれば“ITを全面的に見直すチャンスである”という積極的な姿勢で「内部統制」対応に臨んでほしいと思います。そのためには、やはり“攻めのIT適用で内部統制対応に取り組む”をこの連載に共通のテーマとしたいと思います。

　「内部統制」とITの関係とその目的を、一言で語るとするならば「企業の財務活動にかかわるあらゆる情報と行動を、ITで支援して監査・管理すること」といえるでしょう。現在の企業活動において、何らかのシステムが利用されていることは確実です。その中でも財務に関する分野は、等しくどの企業でも重要なIT利用が進んでいるところです。

　基幹系システムの筆頭に挙げられるERPパッケージや稟議系のワークフローシステム、購買系システムなども財務活動に関係するシステムといえます。こうした複数のシステム全体にかかわる環境に対する統制（コントロール）を、IT情報システムに対する統制活動の「全般統制」といいます。これに対して業務処理システム個々の業務処理フローやこうしたシステムをまたがる業務プロセスにかかわる統制を「業務処理統制」といいます。

図1：IT情報システムに対する統制活動