2009年3月期からの適用が予想される日本版SOX法のため、日本企業は内部統制の強化に取り組んでいる。しかし、法令対応を主眼としていては、想定される膨大な文書化作業が強調されるばかりで、積極的な対応は期待できない。
ご存知のように、日本版SOX法は財務活動を中心とした「正しい業務」のための内部統制の義務化である。内部統制は新会社法でも定められている企業改革の重要テーマなのだ。日本版SOX法への対応は、確実な内部統制の実施を行う好機である。この機を逃すと、今後強まるコンプライアンス対応において致命的な遅れとなり、企業存続の危機に直面する危険性すらある。
そして、ビジネスとITが一体化した今日において、正しい業務は正しいシステムによって保証されるといって過言ではないだろう。高度化するITとそのIT戦略に、内部統制を組み入れることが必要だ。それによって、ビジネスに最適な業務プロセスと内部統制を実装することが可能となり、一層の競争力を確保できる。さらに内部統制のために発生する膨大な文書化作業を大幅に抑制できるのだ。

日本版SOX法の登場はグローバル経済からの必然

「いまや日本の株式市場では、売買シェアの半数程度を外国人投資家が占めています。彼らの求めるグローバルレベルでの経営の透明性、コンプライアンスを確保することは、上場企業にとっては最低限の生存条件です」と語るのは、日本コンピュウェア マーケティング本部部長の岡田である。
その市場からの要請を受けて、現在、金融庁を中心に日本版SOX法の準備作業が進められている。法律の適用は2007年の事業会計年度からといわれており、すべての上場企業はそれまでに対応を終えなければならない。残された時間はあまりにも少ない。
「日本版SOX法が求める内部統制を実施するために、上場企業は業務プロセスの文書化などに取り組んでいます。ただ多くの場合は『しかたなく』といった形で、法令対応だけに止めようとしてはいないでしょうか。どれだけの経営者が内部統制の意味と影響を本当に理解しているのでしょうか」と、岡田は現状に疑問を呈した上でこう続ける。
「日本版SOX法の本質は内部統制です。内部統制は業務とそれを支えるシステムの正しさのために、業務遂行上で想定されるリスクを確実にコントロールしようとするものです。日本版SOX法は、財務活動の視点に力点をおいて内部統制を義務化しているのです。2006年5月に施行される新会社法でも、同様に内部統制が規定されています。当然、日本だけの現象ではありません」

ビジネスと一体化したIT
レベルの高いIT統制が業務統制を容易にする

「内部統制作業では、準備作業としてまず現状の業務分析・定義を行います。この時、業務改善を同時に行い、さらなる効率化・迅速化を実現することが必要です。しかし、次の作業であるリスク分析に主眼を置きすぎると、業務が最適化されないままリスクコントロールが設定されるので、非効率的な内部統制活動になる可能性があります。そして、内部統制が業務を縛り、その後の業務改善を困難にする危険性があります。これが制度対応のみに着目した内部統制実施の最悪のシナリオです」と岡田は懸念している。しかし、対応に残された時間は少ない。業務改善と内部統制の並行実施は可能なのか。
「今日のビジネスは、業務活動とIT利用が一体化しています。IT利用（業務システム）なしでは、1秒も仕事が進まない状況ではないでしょうか。内部統制活動だけをITから分離し、手作業で外付けすることは極めてナンセンスです。業務改善と統制活動がデザインされたら、業務システムに一気に反映させるのです。例を挙げましょう。取引先との与信を超えた取引リスクを低減したい、その統制活動として月額発注金額に上限を設定するとします。ITを利用すれば、販売システムのマスターに与信金額を設定し、会計システムで取引先毎に発注金額集計を行って与信金額とマッチッグ、上限金額を超えたら取引作業を制限するだけです。しかし、これを業務のみ、つまり手作業で行うとどうでしょうか。取引毎に事前チェックを行い、週次または月次で集計して与信額との照会が必要です。これがいかに大変な作業になるか想像してください。しかも、問題判明がチェック時ならば、取引の1週間後または1カ月後となり、統制としては不十分です」と、岡田は主張する。

IT統制を全域でサポート
コンピュウェアの内部統制ソリューション

では、レベルの高いIT統制を実施するポイントは何か。岡田はコンピュウェアの内部統制ソリューションを例にとり説明する。
「IT統制は業務システムへの統制（＝業務処理統制またはアプリケーション統制））とIT環境（開発・調達・導入・運用）への統制（＝IT全般統制）に区分されます。業務処理統制のポイントは、業務標準化と内部統制の一体化、そして既存システムの最大活用です。大半の基幹業務においては業務システムが既に存在しており、内部統制に必要な機能もほとんど実装済みではないでしょうか。それでも、部分的な欠落や冗長も多く、内部統制に限定したワークフローソリューションが有効と考えています。もちろん、システム連携に発展できる基盤を持っていなければなりませんから、コンピュウェアは「Uniface Flow」製品を中核とした内部統制対応ワークフローソリューションを提供します」と、岡田は語る。
「一方、基幹業務に業務システムが存在していない分野があります。それがIT業務です。情報システム部門、情報システム子会社、SI会社がそれに当たります。そのソリューションとして、業務管理と内部統制を同時に実現できるIT業務専用のパッケージが有効ではないでしょうか。それには、コンピュウェアのIT業務管理パッケージ「Changepoint」製品が最適です」と岡田は続ける。
「IT全般統制においては、対象となる領域・作業範囲が広く、すべてを完全に網羅することが、短期間では難しいと考えています。それでも、その本質は正しい業務システムの提供と運用ですから、業務システムにおけるソフトウェア品質保証と、システム障害の未然防止が最重要ポイントではないでしょうか。コンピュウェアでは、オープン系からメインフレーム系まで、幅広いプラットフォームに対応した高機能な品質・運用管理製品群を提供しています」と説明する。

高いレベルのIT統制が、業務統制を容易にし内部統制の本質的な実施をスムーズにする。これがコンピュウェアの提唱する内部統制ソリューションのメッセージだ。