ITサービス業界も自ら日本版SOX法の実践に動き出した。自社の内部統制を強化することが、顧客への提案にも説得力を与えるからだ。大手ユーザーも取引先の統制強化に動いており、非上場のソリューションプロバイダも無縁ではいられない。
「日本版SOX法を契機にソリューションプロバイダの選別が、いっそう厳しくなるかもしれない」―。米企業の日本法人として、米SOX法対策を経験した日本コンピュウェアの岡田行秀マーケティング本部長は、国内のIT業界にこう警鐘を鳴らす。
警鐘の根拠はこうだ。上場しているユーザー企業やITベンダーがSOX法対策に取り組めば、財務報告への影響が大きい外部との取引先は、真っ先に統制を強化する対象になる。取引先に課す条件を厳しくしたり、業務の仕組みを改めるように指導するケースも出てくるだろう。そうなると上場か非上場かを問わず、多くのソリューションプロバイダが対応を迫られるはずだ。「米国でもSOX法の施行後から、グリーン調達や取引の法令順守に取り組む企業は増えている」(NECマーケティング推進本部の川井俊弥グループマネージャー)など、もはや状況は日本でも待ったなしといえる。
日本版SOX法の施行に先んじてIT発注の改革を進めているのが大成建設だ。属人性を排して公正な調達を実現するため、既に2005年から調達の窓口を一本化してシステム部門内に専門部署まで作っている。IT調達はこの部署で厳密に要件定義を作った上で、「営業との付き合い」といった要素を排除して進めている。
本来は法令順守やコスト削減を狙い、2003年から開始した全社的な調達改革の一環であり、SOX法とは無縁の活動だった。しかし現在は、「日本版SOX法対策として見ても、有効なリスク回避の仕組みになっている」(社長室情報企画部の平山新次長)という。
 △ 図をクリックすると拡大 |
|
図1●非上場でも取引先から内部統制強化の対応を迫られる
|
ユーザーに先んじて実践せよ
 △ 図をクリックすると拡大 |
|
図2●日本版SOX作業法対策で必要な作業とスケジュールの例
|
しかしユーザー企業と同じペースで日本版SOX法対策を行っていては、実践した成果をタイミングよく提案できない。スケジュールは厳しいが、できるだけ前倒しで内部統制の構築を進める必要がある。前倒しで作業を進めるメリットはほかにもある。「上場企業が一斉に対策に動くため、日本版SOX法対策のコンサルタントは人不足に陥る恐れがある」(TIS事業開発室の松浦孝治事業推進統括マネジャー)ことだ。
実際、TISは1年の前倒しで日本版SOX 法対策を進めている。2006年度に文書化までの作業にメドを付け、2007年度に構築した内部統制システムの運用・改善を実施。2008年3月期に監査を受ける予定だ。当初、TISは日本版SOX法が早ければ2008年3月期にも施行されるとみており、それに合わせて準備を進めてきた事情もあった。施行が2009年3月期にほぼ決まった現在も、この期限に間に合わせるのは、ソリューション提案のノウハウを社内に蓄積し、商談に活用するためである。
富士通も「ほぼ最短のスケジュールを狙い、2006年末までに文書化、2008年3月期に監査まで進めたい」(池本守正The FUJITSU Way 推進本部長代理)と話す。
この点で先行しているのが、米SOX法の対策を経験した外資系ソリューションプロバイダや、NECなど米国で上場する国内大手ベンダーだ。ニューヨーク証券取引所に上場しているNEC は、義務化される2007年3月期の監査に向け、本格運用フェーズに入っている。自ら実践した内部統制ソリューションを提案できるほか、相手から説明を求められることも多く、商談の有力なリードになっている。
例えば「フローチャート化する業務プロセスは、細かく分けても負担になるだけ。リスクの特定という目的にかなうレベルまで大きく捉えた方がよい」(NECマーケティング推進本部の大畑毅シニアエキスパート)といった、経験していなければ分かりにくいノウハウを顧客に提供できるという。
日本ヒューレット・パッカードもアウトソーシングを受託している外資企業の日本法人などから「個別に文書化作業などを請け負い、監査にも協力している」(アーキテクチャー・コンサルティング・チームの庄野雅司シニアコンサルタント)。
SE のスキルが生きる
ただし、ソリューションプロバイダが日本版SOX法対策を実践しようとしても、現場スタッフは「財務部などの本社部門に任せればいい」と関心が薄くなりがちだ。しかし日本版SOX法対策を成功させるカギは、「内部統制の伝道師になるような、力のある現場スタッフの参加」(TIS企画部の西村玲子主査)にある。
実際にTISでは、日本版SOX法対策のプロジェクトチームにSEなどの現場スタッフを積極的に配属させた。自らがSE出身であるTISの西村主査は、「SEのスキルは、内部統制の活動に積極的に生かしたほうがいい。業務プロセスの分析やリスクの洗い出しは、まさにSEの得意技」と語る。
 △ 図をクリックすると拡大 |
|
図3●現場のトップから「宣誓」を連鎖させる
|
日本版SOX法では、経営者が内部統制報告書を作成するほか、財務諸表に誤りがないことを書面で宣言する。こうした宣誓の根拠を、事業責任者のバックアップ宣誓書に求めることができる点がポイントだ。例えばNECは、経営トップの下に「事業ユニット長クラス」と「子会社の社長か事業部長クラス」という、2階層のバックアップ宣誓書を導入した。
「SAS70」にも注目せよ
今後、ソリューションプロバイダがアウトソーシングを手掛けるときに注目したいのが、「SAS70(Statement on Auditing Standards No.70)」と呼ばれる米国公認会計士協会の監査基準である。日本では、日本公認会計士協会の「監査基準委員会報告書18号」がSAS70に当たる。アウトソーシング事業者がこの監査をクリアすれば、ユーザー企業は委託した業務の監査を済ませたと見なされ、個別の作業から解放される。関係者によると、基準をより明確にするべく今年秋にも公開される日本版SOX法の実施基準では別途、基準作りが進められているという。
野村総合研究所(NRI)やTISは、まずは外資系などのユーザー企業に対応したり、先行でノウハウを取得したりするため、SAS70の取得準備に入った。NRIは半年の運用を経て2006年10月に、TISは今年度の運用を経て2007 年3 月にSAS70の監査を受ける計画だ。SAS70の監査クリアに必要なことは、「SOX法対策と同様に、内部統制の仕組みを構築・運用すること」(TISの松浦マネジャー)である。ただし独特のノウハウが要求され、監査のクリアは容易ではなさそうだ。例えば、同じITインフラや業務アプリケーションの運用でも、「財務報告に与えるリスクや影響はユーザー企業ごとに変わる点に配慮が必要」(あずさ監査法人の鈴木輝夫本部理事)という。
特にSOX法対策が初めての現場ならば、「従来なら口伝えで伝承されてきた“当たり前の業務”も、すべて文書化する手間が予想外にかかる」(NRIのI-STAR事業部の籏谷憲作上級システムエンジニア)など、多大な労力をかける覚悟がいるだろう。
IT取引の環境が激変する
今後、日本版SOX法以外にもIT取引を巡る様々な環境変化が出てきそうだ。大手の中では日本IBMが既にIT取引にかかわる財務リスクの排除に積極的に取り組んでいる。2000年からパートナーとの取引内容を定期的に精査する「コンプライアンスレビュー」制度を開始。パートナーの協力を仰ぎ、日本IBMの専門スタッフが数日にわたって取引履歴などをサンプリングして閲覧し、IBMが認めていない取引形態がないかを調べるものだ。その代表が、顧客が特定できないままパートナー間で製品を流通させたり、期末に大量に販売した製品が、翌決算期に多く返品されたりするような、粉飾決算の手口にもなる取引だ。「IBMの目的はあくまで自らの財務報告に誤りが起こるリスクを排除するため」(今年3月までBP事業管理の部長だった加藤寛氏)。
今のところ、他メーカーに同様の動きはない。しかし企業会計基準委員会が3月に、ソフトウエアを対象にIT取引の売上計上に関するガイドラインを公表するなど、IT取引にはより厳しい規律が求められている(図4)。ガイドラインは日本版SOX法よりも1年先行して、2007年4月以降に始まる事業年度から適用される。ソリューションプロバイダは自らシステムインテグレーションの現場にガイドラインを徹底させ、IT取引の会計処理を厳格化する対応が求められている。
|
○次のケースで売上計上するには、取引の実在を確認し客観的に説明可能にする
○各成果物が単独で一定の機能を果さなければ、分割検収による売上計上はできない
○ソフトやハード、サービスの複合取引は、1つの契約でも対価を適切に分ける。
○元請け企業がリスク(在庫/信用リスク、瑕疵担保責任など)を負っていない場合は手数料だけを計上する |
|
図4●厳格化されたソフト取引の会計処理
企業会計基準委員会が3月30日に公開した。適用は2007 年4月以降の年度から |
