迫り来る日本版SOX法、IT統制の準備はOK？：トレンド解説（15）（2/2 ページ）

[垣内 郁栄，＠IT]

金融庁草案に加えられた「IT統制」

　企業会計審議会草案では、COSOフレームワークの5つの構成要素のほかに「ITの利用」が加えられている。ITの利用について草案は「組織目標を達成するため組織の管理が及ぶ範囲において、IT環境に対応した情報システムに関連する内部統制を整備及び運用すること」と定義している。ITを利用した内部統制＝IT統制は、COSOフレームワークでは個々の構成要素に盛り込まれた形になっており、直接的には触れられていない。ベリングポイントのマネージングディレクターで公認会計士の野村直秀氏は、草案にIT統制が加えられた理由を「データの統合性確保など、IT抜きではもはや内部統制が不可能になっている実態が背景にある」と分析し、「ITがビジネスの中で占める割合が大きくなり、ITを高度に活用する企業も多い。そのためのリスクも出てくる」とみている。

　IT統制をさらに見ると「全般統制」と「業務処理統制」の2つに分けられる。全般統制は「ITの導入、開発、運用までにプランニング、セキュリティ、システムの変更管理など業務処理プロセスを支える仕組み」（日本オラクル アプリケーション事業推進本部 川腰晃夫氏）。業務処理統制は「ビジネスフローの中で起こり得るリスクへの統制」（同氏）となる。

　同草案のIT統制の部分は、ISO/IEC 17799（BS 7799-1）や米国システムコントロール協会のCOBIT、経済産業省が2004年10月に発表した「システム管理基準」「システム監査基準」、米国公認会計協会やカナダ勅許会計協会のIT統制基準などを参照しているとみられる。IT統制に関するトレーニングコースを提供しているSAPジャパンも草案の発表を受けて、「システム管理基準」に合致するようコースを整備し直したという。

　企業会計審議会の草案では、これらの構成要素に基づき、内部統制が適正に構築・運用されているかを経営者が評価し、外部に対して「内部統制報告書」として示す。監査人はこの経営者評価の適正性をチェックする「内部統制監査報告書」を作成するプロセスを想定している。このプロセスを回すことで、適正な業務、適正な財務報告、コンプライアンス、資産の保全という内部統制の4つの目的を継続的に達成していく。

ITが内部統制システムをサポートする

　内部統制、IT統制の確立でポイントになるのが文書化の作業といわれる。文書化とは、社内の業務プロセスを標準化し、文書にまとめる作業を指す。企業がある決定を行ったり、財務諸表のある数値を決定する際に、その決定を行うまでの社内外の手順を文書化、実際のプロセス処理結果を文書として残すことも意味する。また、内外の環境が変化してプロセスを変えた場合も、文書にも反映させて、社内に周知徹底する必要がある。

　文書化は内部統制の基本であり、また最もコストが掛かる作業であるといわれている。米国SOX法の場合は、企業が文書化に平均5億円掛けたともいわれる。SOX法対応の予算のうち、文書化などのサービス、コンサルティングの予算が全体の8割を占めたという。

　内部統制への対応をスムーズに進めるには、ERPなど業界標準のベストプラクティスを埋め込んだITシステムの導入が有効だ。ERPの導入では、社内の業務プロセスを整理し、標準化するのが基本。業務プロセスが標準化されていれば、文書化の作業も進めやすくなる。

　内部統制に対応したリスク管理機能をERPに埋め込むケースも増えてきた。日本オラクルはERPパッケージ「Oracle E-Business Suite」（EBS）のモジュールとして、内部統制を文書化して遵守の進行状況をモニターできる「Internal Controls Manager」（ICM）を2004年10月に国内でリリースしている。ERP上の業務プロセスに内部統制を組み込むことができ、漏れのないチェック機能を提供できる。ERP以外にもストレージや文書管理システム、認証管理システム、eラーニングなど内部統制の導入に役立つITシステムはあり、周辺ビジネスが拡大すると予想される。

　日本オラクルによると、米国SOX法対応した企業の多くは対応整備に平均8〜12カ月以上の期間をかけたという。日本版SOX法が2008年3月期に導入されるとすると、企業は2006年4月にも日本版SOX法への準備を開始する必要があることになる。