「金融商品取引法」で上場企業に課せられる内部統制制度(日本版SOX法)が、一時的とはいえ顧客のIT投資を冷やす公算が出てきた。長期で見ればITサービス会社の出番が増えるのは確実だが、焦らず顧客を深掘りする長期戦略が求められる。

 「内部統制の評価範囲をどう決めるかは、まだ議論できない。今はまず、重要な拠点から作業に入ってほしい」。今、多くの監査法人が顧客企業にこんなメッセージを送っている。日本版SOX法の対策コストを大きく左右する「文書化」と「経営者による評価」の対象にする事業を、まだ絞り込まないでほしいというのだ。

 金融庁は、日本版SOX法対応の手引き書である「実施基準」の案を昨年11月に公表した。評価範囲は「売上高の3分の2以上を占める事業拠点や連結企業」に絞り込めるとはっきり書いてある。それなのに監査法人が「待ち」の指示を出すのは、実施基準を補う新たな“手引き書”が3月をメドに公表されるからだ(図1)。

図1●「日本版SOX法」の内部統制制度を形作る基準、指針の概要
図1●「日本版SOX法」の内部統制制度を形作る基準、指針の概要
金融商品取引法の内閣府令と、実施基準をより詳細にしたQ&A集が新たに加わる。IT統制で頼れる指針はまだ見えていない  [画像のクリックで拡大表示]

 この“手引き書”は「Q&A」とも呼ばれており、金融庁が主導して作成する方向だ(文末囲み記事参照)。「どんな条件がそろえば、監査人が範囲の絞り込みを認めてくれるのか」「実施基準だけでは詳細な対策方法が見えてこない」。こんな疑問はQ&Aが出ることで、ようやく晴れそうだ。

 また経営者が提出する「内部統制報告書」の書き方も、金融庁が3月末に案を出す見通し。結局のところ、日本版SOX法対策の全容を把握するには、そこまで待つしかないのが現状だ。こうした遅れが日本版SOX法で商機を狙っていたITサービス業界を揺さぶりつつある。日本版SOX法商談だけでなく、顧客のIT投資全般を冷やす恐れが出てきたからだ。

07年度予算は確保してない

 日本版SOX法の導入年度(2008年度)まで約1年、監査の期末まで2年。「間に合わない」とは言えないが、ユーザー企業にはとても厳しいスケジュールである。そもそも実施基準案の公表が昨年12月だったことが、企業側にとっては「予想外に遅かった」(関係者)。

 その結果、ソリューションプロバイダが2007年度に見込んでいた日本版SOX法商談が、動き出さない公算がある。

 理由は二つある。一つ目は、多くの顧客企業が日本版SOX法対策で必要となるIT投資の中身をまだ見通せず、2007年度の予算を確保できていないこと。また、顧客企業は押し迫った期限で文書化などに忙殺される。従って大きなシステム更新より、付け焼き刃であっても現状の手直しを選びがちになることが二つ目の理由だ。

 「経営陣に日本版SOX法対策の予算を要求したい。どんなIT投資が必要か見積もってほしい」。昨年暮れから、ITサービス業界には顧客企業の問い合わせが相次いでいるという。しかし顧客自身が、自社の業務にある問題点をまだ把握し切れていない。確たる金額を示せるソリューションプロバイダはほとんどいないはずだ。

 2006年上期にプロジェクトを立ち上げていた先行企業なら、こうした障害は少ない。2006年度中には現状のリスクを把握し、必要な対策を企画。2007年度上期までに業務プロセスを大きく変えるIT投資に踏み切れば、図2の「望ましいスケジュール」のように2008年度に本番運用を迎えるのも無理な計画ではない。

図2●ユーザー企業の日本版SOX法対応での「望ましいスケジュール」と「ぎりぎりのスケジュール」の比較
図2●ユーザー企業の日本版SOX法対応での「望ましいスケジュール」と「ぎりぎりのスケジュール」の比較  [画像のクリックで拡大表示]

 しかし実施基準案を待って動き出した多くの企業にその余裕はない。それでも、できれば初年度から「内部統制を適正」にしたい。そこで現状の業務プロセスとITインフラをあまり変えずに、まずは個々のリスクを付け焼き刃で手当てするケースが多くなるだろう。

 一方で、制度の導入初年度となる2008年度のIT投資は、また別の問題を抱える。少なくともプロセスを大きく変える業務システムの刷新は、評価と監査のスケジュールに支障を来しかねない。

 経営者が内閣府に提出する「内部統制報告書」は、決算期末の評価結果を書く。ただし、運用上は期末に一定の評価期間を確保する必要がある。企業規模などによるが、この期間は「標準で3カ月」(トーマツ企業リスク研究所の久保惠一所長)。その間は業務プロセスを固定するのが原則だという。もしプロセスを変えたら、その個所の文書化から評価、監査までをすぐにやり直す必要がある。

 では評価・監査の前提となる文書化はどこまで引きつけられるのか。久保所長は「2008年9月が最終リミット」と指摘する。文書化に続くテスト運用と評価に3カ月ずつを要するとして、期末までおよそ6カ月を確保する必要があるからだ。

 ただし、これは「多少の不適正も覚悟し、報告書はなんとか間に合わせる」という最悪ケースに近く、文書化はもっと早く終わらせた方がよい。つまり2008年度に業務システムの大きな刷新を行うのは、スケジュール的に極めて厳しい。