ガートナーが語る日本版SOX法とIT部門の心得

2006/1/13

 「日本版SOX法を商機ととらえるITベンダが間違っているのは、“日本版SOX法対応パッケージ”を売り込もうとしていることだ。日本版SOX法で求められる情報システムの対応は、ユーザー企業がすでに持つアクセス管理や文書管理などのツールでほとんどできる。重要なのは職務権限の明確化など、ユーザー部門のビジネスを変えることだ」。ガートナー ジャパンのガートナーリサーチ ITマネジメントグループのリサーチディレクター 松原榮一氏は企業のIT部門にこうアドバイスする。

ガートナー ジャパンのガートナーリサーチ ITマネジメントグループのリサーチディレクター 松原榮一氏

 2005年7月に草案が発表された日本版の企業改革法(SOX法)では、米国SOX法にはないIT統制の項目が盛り込まれた。ERPベンダやセキュリティ製品のベンダは、日本版SOX法の施行を2000年問題や個人情報保護法の続く商機と捉えて、マーケティング活動を活発化させている。

 ただ、内部統制の構築は「単にIT関連のパッケージを入れればOKというのは間違いだ」(松原氏)。内部統制は企業全体のビジネスプロセスに関係するテーマで、IT部門だけの問題ではない。松原氏が指摘するのは職務分離の不徹底。「日本企業には上司は常に正しいという暗黙の前提がある。上司から指示があれば違法な行為でも行う、明文化された倫理規定がないなど統制環境の軽視がある」と内部統制の前提が欠けていることを指摘する。

 日本企業はかつて終身雇用制度と年功序列制度によって社員の企業への忠誠心が高く、内部統制のレベルが高かったとされている。いわば「非常に少ない費用で高い統制のレベルが得られる天使の世界に近かった」(松原氏)。だが、経済環境や企業体質の変化で終身雇用制度や年功序列制度は実質的に崩壊。高いレベルを誇ってきた統制環境の前提がなくなってしまった。日本企業が内部統制を再構築するためには経営者が意識を持って取り組む必要があると松原氏は訴える。「経営の仕組みを変えないといけないが、それができるのは経営者だけだ」(松原氏)

 松原氏は「内部統制はビジネスプロセスと技術を組み合わせて実現される」と説明する。具体的には、望ましくない事態の発生を防止する予防統制と、望ましくない事態を発見する発見統制の仕組みをITシステムで支援し、ビジネスのサイクルに埋め込むことが重要だという。予防統制には、認証、アクセス管理、承認、職務分離などがあり、発見統制にはアラーム、監査ログなどがある。

 内部統制強化のためのプロジェクトは経営者の指示の下、財務部門、内部監査部門、法務部門、IT部門などで構成するケースが多いという。このプロジェクトが大枠の方針を決定し、IT部門がITシステムの対応を検討、実行する。IT部門が最初に行うことは「プロセスとそれらの内部統制を文書化すること」(松原氏)。情報システムにおける不正アクセスの可能性などプロセスごとのリスクを洗い出し、そのリスクを軽減するためにどのような対処を行うかを明記する。しかし、プロセスに関するすべてのリスクを洗い出すと文書化の作業は膨大になる。松原氏は「多額のお金が処理されるところや、すでにトラブルが発生しているところに集中すべき」としている。

 内部統制の構築において文書化や予防統制、発見統制の仕組みを導入するにはITシステムの利用は不可欠といっていいだろう。しかし、それはパッケージソフトウェアを導入するということを意味しない。重要なのは、ITシステムも含めたビジネスプロセスに内部統制を浸透させること。松原氏は内部統制に対するIT部門のかかわりについて「ユーザー部門から要件が提示されるのを待つのではなく、会社として内部統制の整備にITがどう貢献できるかを示すチャンスととらえるべき」としている。

(@IT 垣内郁栄)

[関連リンク]
ガートナー ジャパン
手早く分かる「日本版SOX法ポータル」開設

[関連記事]
「コンサルタントの取り合いに」、日本版SOX法これだけの不安 (@ITNews)
SOX法で心配、ユーザー環境が内部統制を見えなくする (@ITNews)
SOX法対応企業が振り返る「本当に勉強させてもらった」 (@ITNews)
2009年の日本版SOX法への対応費用は7000億円 (@ITNews)
日本版SOX法施行は経営を見直す良いチャンス? (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)