（座談会）SOX法対応はITガバナンス強化の契機になる

2007.04.05

システム部門は、日本版SOX法への対応をどんな心構えで臨むべきか―。社内のITガバナンス強化を主導し、日本版SOX法への対応を進めている大成建設の木内氏、米SOX法への対応を担当したヤンセンファーマの輿水氏、日本版SOX法・米SOX法対応を支援した経験を持つビジィコアの豊倉氏が、本音を語った。

日本版SOX法への対応では、ITガバナンスの強化が必要といわれます。

豊倉氏　非常に重要です。IT統制のコンサルタントとして、米SOX法や日本版SOX法の対象企業を支援してきた経験から言うと、監査法人はまず「CIOの不在」を指摘するケースが多いですね。

　言うまでもなく、CIOは技術に明るいだけではダメです。経営トップの意向を受けて、IT戦略を練る必要があります。当然、財務にも精通していなければならない。こうした人材は、日本で最も足りないんです。

　連結グループの問題もあります。親会社のシステム部門は規定がそろっているし、ITガバナンスもしっかりしている。ところが子会社に目を向けると、まず何社あるか分からない。しかも、各社ごとに業務システムが違う、システム部員がいない、といったことが少なくありません。

ITガバナンスの経験を生かす

写真●木内里美氏
大成建設社長室情報企画部長
（写真：田中昌）

木内氏　日本企業の中で、ITガバナンスがきちんとできている会社は少ないと思いますよ。これまでシステム部門が、そのように位置付けられていませんでしたから。

　私がシステムを担当するようになったのは01年からですが、当時は（大成建設）社内にITガバナンスなんて無いに等しかった。システムの再構築に当たり、そのことを指摘されたために、経営層がタスクフォースを作ってITガバナンスに取り組み始めたんです。

　幸運にも、その前年に情報企画部が管理本部から社長室に移り、社内を横串で見る部門という位置付けになった。だからこそ、ITガバナンスという話題が出てきたわけです。

　01年にはシステム再構築の一環として、管理系と本支店の全業務プロセスの業務フロー図を作成しました。同時に、全システムのE-R（エンティティ-リレーションシップ）図を作ったんです。当然、SOX法は影も形もない時代ですが、この時に作成した業務フロー図とE-R図は日本版SOX法に対応する際に役立つと考えています。

輿水氏　当社（ヤンセンファーマ）は今年（2007年）が米SOX法対応4年目で、対象企業としては最も早いほうです。当初から、システム部門は重要な位置付けにありました。

　その役割は何かといえば、財務報告を作成するプロセスで利用する情報システムに対して、ITガバナンスとセキュリティを完璧にすることです。

　実はITガバナンスに関して、ヤンセンファーマでは先行して仕組みを整備していました。そのため、特にIT戦略の立案については、SOX法のために特段何かする必要はないと高をくくっていたんです。実際は、本当に大変でしたけどね（笑）。

　ITガバナンスの仕組みが役立たなかったというわけではなく、通常、2～3年かかるといわれているSOX法への対応を10カ月で済ませる必要があったからです。

「SOX法ありき」ではなく、これまでの取り組みの延長線で考えろ、と。

輿水氏　SOX法対応ありきでいくと、「とにかくパスすればいい」という発想に陥ってしまいかねません。それはもったいないですね。

現状に沿った形で進める

木内氏　そもそも日常業務と異なる形で、日本版SOX法対応の業務プロセスを決めるようなどと考えると“ダブルスタンダード”ができてしまいます。そうなると、ものすごく運用が大変になります。

　建設業界では入札の要件に入ったこともあり、一斉にISO9000を取得した時期がありました。すると、ISO9000が規定した業務プロセスと、日常業務のプロセスのダブルスタンダードが生じた企業が多かったんです。ISO9000の趣旨をよく読み取って、それに日常業務を沿わせる形にすれば、そんな現象は起きないんですけどね。