日本オラクル 桜本氏に聞く

日本版SOX法「実施基準案」を読み解く−その1

2006/11/16

 金融庁が11月6日に公表した日本版SOX法(金融庁品取引法の一部)の「実施基準案」(参考記事)。企業が内部統制を整備するうえでのガイドラインとなる基準で、「枠組み」「評価および報告」「監査」の3つの文書で構成する。企業はこの実施基準案をどう読み解き、実践すればいいのか。アプリケーションベンダとしてユーザー企業の内部統制整備を支援する、日本オラクルのアプリケーションマーケティング本部 アプリケーション推進部 担当ディレクター 桜本利幸氏に聞いた。

jsox01.jpg 日本オラクルのアプリケーションマーケティング本部 アプリケーション推進部 担当ディレクター 桜本利幸氏

 桜本氏は基準案を「あくまでも枠組み。実際の基準は各企業が自ら作成してほしいという精神が息づいている」と見る。言葉の定義をしっかりさせたり、COSOフレームワークを分かりやすく説明するなど、読み手を意識した基準案と評価。「例えば」などの例示も多く、「解釈の相違が出にくい」と語る。

 そのえうえで「絶対というMustの表現がない。内部統制に関するスタートとゴールは示すが、ゴールに行き着くまでの道すじや手法、スピードは企業自らが考えて、ということではないか」と説明した。

 基準案は当初、企業に対応の基準を数値を含めて指示する教科書的な内容が予想された。しかし、アビーム コンサルティングのEBS事業部 プリンシパル 永井孝一郎氏によると「基準案は最低2回書き直され、そのたびに方向転換された」。結果として教科書的な色彩は薄くなり、枠組みとしての内容が強調されるようになったみられる。桜本氏は基準案の意図を「ルールはあくまでも経営層が作れということを言っているのだろう」と語る。

 企業がルールを自ら作成するうえで注意したいのは、「やりすぎは厳禁ということ」(桜本氏)。基準案はルール作りを詳細に指示はしていない。「ルールがあるとすべてが監査対象になる。あとできちんと証明できるかの視点でルールを作ることが重要だろう」。

 ITシステムの観点から基準案を読むと、いくつかのキーワードが浮かび上がる。1つは、人。「枠組み」では内部統制の構築について「正規の従業員のみでなく、組織において一定の役割を担って業務を遂行する短期、臨時雇用の従業員も内部統制を遂行する者となる」と説明している。従業員に対するアクセスコントロール、職務分掌(Segregation of Duties:SoD)の重要性を指摘する記載もあり、桜本氏は「ヒューマン・キャピタル・マネジメントのような仕組みが注目されるのでは」と語る。

 複数の企業や部署で1つのITサービスを共有するシェアードサービスの有用性を説く記載もあると桜本氏は説明する。「枠組み」は、IT全般統制について「例えば、購買、販売、流通の3つの業務管理システムが1つのホスト・コンピュータで集中管理されており、すべて同一のIT基盤の上で稼働している場合、当該IT基盤に対する有効な全般統制を構築することにより、3つの業務に係る情報の信頼性を高めることが期待できる」とあり、桜本氏は「基本はERPの発想であり、シェアードサービスでERPを使えば会社や地域をまたいで内部統制の整備、運用を効率化できる」と話した。

(@IT 垣内郁栄)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)