 |
|
2009年3月期の適応が見込まれている日本版SOX法。その対応は上場企業の義務であり内部統制の対象範囲がIT環境にも及ぶものになっている。しかし、具体的実施基準が確定しないため準備作業がなかなか進まないという企業も多い。早急な対策が求められるが、その際に重要なことは個別の項目対応ではなく、その基本理念であるコンプライアンスとリスクマネジメントを考慮した統合的なアプローチが必要だ。日本コンピュウェアはそのアプローチとしてITガバナンスを中核にした適応を提唱する。その内容やメリットなどについて、日本コンピュウェア マーケティング本部 部長の岡田が解説する。 |
|
企業活動においてビジネスとITが不可分であることが認められた
|
|
|
現在、金融庁を中心に日本版SOX法(サーベンス オクスリー法=企業改革法)制定に向けての準備作業が進められている。2009年3月期にも適応が見込まれており、新ルールへの対応を迫られる上場企業に残された時間は少ない。しかし、日本企業の動きはまだ鈍いように見える。岡田は次のように指摘する。
「IT関係者において日本版SOX法は、唐突に浮上してきた課題のように思えるかもしれませんが、企業の会計監査においては、内部統制およびリスクマネジメントのテーマは以前から重要でした。勿論、IT業界でもシステム監査のような管理基準を普及させる試みも進められていますが、あくまでも企業内部の改善活動の位置付けです。日本版SOX法の登場は、日本経済の更なる発展のために企業活動を透明化・健全化してグローバルマーケットへ対応していく過程での象徴的なステップではないでしょうか。」
日本版SOX法におけるITの位置付けは大きい。業務プロセスにおいてはITの利用が不可欠であることから、内部統制の管理対象として「ITへの対応」が明記されたからだ。
「これまでもビジネスとITが一体であると叫ばれていましたが、日本版SOX法の導入によってITが企業活動を支えるだけでなく健全な財務報告を保証する社会的な責任があることが示されました。上場企業のITの利用および関連業務に大きな社会的な責任と義務が発生することで、多くの会社ではIT業務の全面的な見直しが必要になると思われます。」と岡田は強調する。
|
|
CIOを中心にITガバナンス志向で効率的な対応を
|
|
|
|
日本版SOX法におけるITへの内部統制の手順は、以下のようになると予想されている。
まず、財務報告の主要な勘定科目に反映される業務活動を選択してビジネスプロセスに対して内部統制を施す。そして、ビジネスプロセスと不可分である業務システムに対しても内部統制を実装する。これが業務処理統制(ITの利用および統制)である。そして、これらの業務システムが正しく稼働するためのネットワークやサーバー等のインフラ、業務システムの開発と品質管理、システムの導入と運用、さらに情報セキュリティー等、各種環境および業務への内部統制の実施、これが全般統制(IT環境への対応)である。
では、日本版SOX法に対応するための具体的な作業はどのようなものだろうか。岡田は「CIOやIT部門がまず取り組むべき作業は、現状システムの把握と整備です。初めにITの利用を明確にするために、業務システムの内部プロセスと前後作業や例外処理の把握とドキュメント化、次にビジネスリスク(不正防止等)の評価と承認やセキュリティーの検証、そしてモニタリングプロセスの追加です。そして、このような作業を効率良く実施するために提案する。
「日本版SOX法への対応作業は膨大です。CEOやCFOからの指示、各部門からの様々な要請、これらにバラバラに対応しては社内は大混乱となります。さらに、IT部門のスタッフには大量のドキュメント作業が待っています。従って、全社的に統制のとれた効率的な推進活動が必要です。そこで、コンピュウェアではそのアプローチとしてCIOを中心としたITガバナンス志向の対応活動を提案します。 日本版SOX法のITに関する内部統制は、ITガバナンスのスタンダードなフレームワークであるCOBITがベースになっていますので、作業の親和性は非常に高いと考えます。まず、ITガバナンスに基づいて全体計画を立て、そこに業務システムの改修スケジュールを加味して全体調整をします。そして、そのためにはIT業務を統合管理するシステムが不可欠になるものと考えています。」 |
|
|
