SOX法－内部統制がもたらすもの

A： すぐに対策をとろう！

内部統制に円滑な対応準備をするためのプロジェクトチームは、早い段階から経験ある会計士などの外部アドバイザーと意見交換したり、IT部門のキーマンとチームに参画させることが望ましい。内部統制が適合か不適合かの判断は、自社基準を満たしているかではなく、監査人の持つ定規で測られることとなるし、「IT統制」や「文書化」はITにより効率化が図られることとなるからだ。

もしもプロジェクトチームに入ったならば、IT技術者はどのようなソリューションが良いか提案することになるが、内部統制のためのソリューションは大きく分けて3つに分かれる。
①　必要となる全てを提供しようとする業務統合ソリューション
② セキュリティ整備のためのソリューション
③ 文書化のためのソリューション
①のSOX対応の業務統合ソリューションには、文書化のためのテンプレートから、WEB上での稟議システム、社内認証システム、テスティング、評価シートなどまで必要となるものは全て用意されている。提供元は、SOX法対応のノウハウが既にあるアメリカ系企業が多い。
②のセキュリティ対策は、物理的な施錠システムとITを利用した入室管理から、サーバ、生体認証、なかには社員がPCで何をしているのかをチェックするアプリケーションまで、まさに百花繚乱の様相を呈している。
①や②の選択は、職場環境、ワークフロー、人的資源の活用法までにも影響するので、社風や従業員のモチベーションまでを左右しかねない。「何をしたいのか?」を明確にし、企業組織へのビジョンをしっかりと持っていないと、無駄な投資になりかねないし、規則や統制を通り越して首の回らないガチガチの職場にもなりかねない。実情に合った提案をするためにも、システムについての知識だけではなく、財務・人事・経営・在庫管理にいたるまで広い知見を持ちあわせておきたい。
③の文書化のためのソリューションはWord、Excelを活用できるものが中心となるだろう。CiTower、OnBase、MicrosoftのVisio (内部統制ツールをWebサイトにて無料配布) などが代表的なところとなっている。

B：いつでも対応できるよう準備しよう！

内部統制によって、各上場企業はセキュリティ、情報保護などにそれぞれ自社基準を設けることとなる。この手順や業務環境に合わせることをどのレベルまで関係企業に求めるかは様々と思われるが、中小企業であっても業務フロー管理、情報セキュリティ管理、品質管理基準などを十分に説明(証明)できなかったり、取引先基準に対応できなかった場合には取引先を失うことにもなりかねない。

個人情報保護法も社会的に広く影響が強かったが、J-SOXも強い影響を及ぼしそうである。

また内部統制にはITシステムに対してその信頼性やセキュリティを証明することも含まれている。システムへのアクセス権限ルールや管理、外部システム開発ベンダーへの委託契約方法を含めて、公正で明確な手続きによって業務が遂行されていること、それを証明することが盛り込まれている。このためにシステム開発を発注する企業がJ-SOX対応のためにシステム開発に係る手順を規定してそのやり方を遵守することを求めたり、セキュリティ環境や業務管理のためにシステム設計フェーズ、開発フェーズ、運用フェーズを数社に分割発注することなどが予想されている。

これらを考えるとシステム開発ベンダーはその規模の大小に拘わらず大きな影響を受けそうである。とりわけセキュリティへの取組みについては、個人情報保護法の流れと合わせて一定の手順の義務化がなされたと言えるかもしれない。
アメリカではSOX法対応にあたって末端が非常に混乱したことが伝えられており、中小システム開発ベンダーは、取って付けたような中途半端な対応だと足をすくわれる可能性もあるので、取引先の動向に注意を払いながら十分な対応を検討したほうが良いだろう。

C： 知ってて損はないはず！

そもそもSOX法は2002年7月にアメリカで制定され、日本を含む各国で取り入れられているのだが、この内部統制ならびにIT統制の可能性については、アメリカにてかなり長い期間にわたり議論されてきた。この一つの成果としてCOSO ERMフレームワークと呼ばれる、アメリカのトレッドウェイ委員会組織委員会（COSO：Committee of Sponsoring Organization of the Treadway Commission）が公表したエンタープライズ・リスクマネジメントのためのフレームワークがある。これはリスクの観点からマネジメントと内部統制を統合する考え方を示しており、経営や戦略の視点からリスク許容度を設定／コントロールすること、個々のリスクをポートフォリオの観点から統合管理することを提唱している。

これは、マネジメント側が細部（末端）の業務にまでトップダウンで介入し、迅速な設定を行うことも出来るようにするということだから、経営者サイドに情報と権限が集中する構図を想起させる。J-SOXを始め、世界各国でアメリカ発祥のSOX法が制定され、これがグローバル・スタンダードとなってゆくならば、「マネジメントと内部統制を統合する」考え方は強く後押しされて大きな流れとなるだろう。これにより企業活動に無駄は少なくなると思うが、働き易くなるのか、働きにくくなるのか、社会階層の二極化を進めるのか、はたまた職を増やして失業者を減らすのか、これらは蓋を開けてみないと分からない。

一つ言えるのは、「マネジメントと内部統制を統合する考え方」、「経営や戦略の視点からリスク許容度を設定・コントロールして細部まで統合管理する」スピード感ある経営は、IT基幹システムや統合システムによって実現するだろうし、その時に提供される職場環境は今とは大きく異なるかもしれない。
このSOX法ならびにJ-SOXが、どのようなインパクトを社会に及ぼすのか、今後も注視していきたい。技術によって可能になった世界の中で居場所を探すのではなく、我々は技術の進歩こそを、しっかりと統制してゆくべきであるのだから。