IT統制を整備・運用しても、監査人に“有効”と評価されなければ意味がない。また、「監査そのものが(システム部門の)通常業務に支障をきたすほど時間がかかる」(京セラの藤田部長)ため、効率的に監査を受けられるようにすることも重要だ。

 リコーが本番監査において、IT統制について受けた指摘の37%は、特権ID管理や実環境と開発環境の分離といった職務分掌についてだった。次ぐ34%が、テスト手続き関連だ(図12)。実は予備監査では、「変更管理の手続き」や「バックアップの復元テスト」など、システムの運用についての指摘が多かった。両者で指摘事項が違うのは、予備監査の指摘を修正して本番に望んだからだけではない。小島リーダーは、「本番で全く新しい指摘を受けた面もある」と証言する。

図12●リコーは、予備監査と本番監査で外部監査人からの指摘事項のポイントが異なった
図12●リコーは、予備監査と本番監査で外部監査人からの指摘事項のポイントが異なった
[画像のクリックで拡大表示]

 2005年度に内部・外部を合わせて4回の監査を受けたアドバンテストの二井室長も、「予備監査の回を重ねるごとに指摘が細かくなっていったという印象がある」と振り返る。「監査人は常に不備を指摘する」と語るのは、米SOX法対応の4年目を迎えるヤンセン ファーマ インフォメーションテクノロジー部の輿水隆行チーフ・インフォメーション・コンプライアンス・オフィサー(CICO)だ。「4年たっても指摘事項が減ることはない」という。

作業量を考えて60点を目指す

 これは、ある意味仕方がない。二井室長は、「当初は我々もリスクに対する認識が低い部分があり、ルールや規定類の不足などを指摘された。その改善に合わせ、監査人の指摘が具体化していった面がある」からだ。輿水CICOも、「監査人は1回の監査ですべてを見ることはできない。毎年、若干スコープが変わる」とする。

 では、終わりがない監査人の指摘とどう付き合うべきか。

 NISグループの高瀬副本部長は、「重要な欠陥を出さないことを目標に60点を取るつもりで臨むべき」とアドバイスする。プロティビティ・ジャパンの百野公裕マネジャも「システム部門は完璧を目指しがちだが、それでは作業量が膨大になるだけ」と語る。米SOX法、J-SOXとも「重要な欠陥や不備があったら上場廃止」といった決まりはない。「経営者が自社の内部統制が有効だと判断できるレベル」が、「どこまでやるか」の回答である。

 監査法人トーマツの久保代表社員は、「自社の対応方針を合理的に説明できれば問題ない」とする。監査人から「このリスクに対する統制が必要では」と指摘されても、「必要ない理由をきちんと説明できれば、監査人も過剰な統制を整備させるようなことはしない」(同)。

 ただし忘れてはならないのが、J- SOXの実施基準には「指摘された不備を放っておくことは重要な欠陥につながる」と明記されていることだ。本番監査で不備があれば、少しずつでも修正の方向に持っていく必要がある。

監査人が必ず正しいわけではない

 外部監査人がシステム部門を監査する際は、所属する監査法人が独自に作成したIT統制のチェック・シートを利用する。米SOX法では、米ITガバナンス協会/情報システムコントロール協会が作成した「COBIT for SOX」をベースにしたものが多かった。

 米SOX法対応企業が困ったのは、監査法人のチェック・シートが現状に合っているとは限らなかったことだ。アドバンテストでは、「メインフレームを前提にしており、オープン系では回答できないものがあった」(二井室長)。新日本監査法人の中山代表社員は、「パッケージ導入率が高い米国では、その前提でチェック項目を考えている。自社開発比率が高い日本企業には合わない部分もある」と指摘する。

 当然ではあるが、自社に合わない部分は、そう主張するべきだ。

 コンサルティング会社が作成したチェック項目を採用することで監査人と合意していたNISグループは、当初の80項目のうち、6項目を削減した。「ソフトウエアの違法コピーを防止する手立てが採られているか」や「インターネットの不正利用を防ぐ対策はあるか」など、「SOX法対応では必要ないと説明できるもの」(平部長)だったからである。

 例えば違法コピー・ソフトについては、同社はすでに各パソコンにインベントリ・ツールを導入し、利用を検知できる仕組みを構築してある。しかし平部長は、「仕組みがあるのと、SOX法対応の一環として証拠を残し、監査人に示すのでは、手間が全く違う」と、監査人と交渉して項目から削ることの意味を説明する。

 J-SOXについては、この点は若干、修正されそうだ。現在、大手監査法人は、米SOX法で利用したチェック・シートをベースにJ-SOX向けのものを作成中である。経済産業省がJ-SOX向けに作成した「システム管理基準(追補版)」との整合性をとるための表なども作っている。J-SOX対応企業は、こうした資料を早めに入手したい。