2008年4月からの会計年度で日本版SOX法の適用が始まる。今年度にやらねばならないことは,財務諸表に影響を与える大きなリスクをつぶすことだ。ITエンジニアがムダのない作業を実施するためのポイントを紹介する。

 「日本版SOX法対応に今から着手するITエンジニアは,ギリギリのタイミングだと考えた方がいい」――。ガートナージャパンでSOX法対応企業向けにコンサルティング業務を手掛ける松原榮一氏(リサーチ バイス プレジデント)は,こう指摘する。同様にSOX法対応サービスを提供しているAKIの青木孝浩氏(取締役)も,「時間の余裕はない。できるだけ早めに着手すべき」と口をそろえる。日本版SOX法対応を進めると,ITエンジニアの作業が大幅に増え,時間が不足するからだ。

 財務諸表の正しさを求める金融商品取引法,いわゆる日本版SOX法への対応においては,システム開発・運用業務の変更が必要になり,情報システムの修正も求められる。例えば,財務データを管理するデータベースに誰でもアクセスできたらどうなるだろうか。不正アクセスを受け,財務データを書き換えられるかもしれない。ならば,ITエンジニアは現在のID/パスワード管理体制を見直す必要がある,といった具合だ。

 では,今から取り組むITエンジニアは何から始めればいいのだろうか。NTTデータの岡野哲也氏(法人ビジネス事業本部 コンサルティングビジネスユニット 部長)は,「財務諸表に影響を与えるリスク全部に対処しようとせず,まずは致命的なリスクから手を打っておくべき」とアドバイスする。今回取材した日本版SOX法対応のコンサルタントや,米SOX法対応を経験した企業のITエンジニアからも,「まず今年度の残り6カ月で,正しい財務報告を行えなくするようなシステム上の大きなリスクを発見し,対策すべきだ」という声が多く聞かれた。

 取材を進めると,大きなリスクを発見するために重点的に確認すべきポイントが浮かび上がってきた。それは,権限のないユーザーをシステムにアクセスできなくする「アクセス権管理」,不正なデータがシステムに入力されないようにする「不正入力防止」,アプリケーションの開発者が運用業務を行わないことを指す「開発と運用の分離」,システムの変更がきちんと管理できている「変更管理」――の四つだ()。

図●日本版SOX法の目的とITの関係
図●日本版SOX法の目的とITの関係
正しい財務報告を行うには,最低限これら四つの要素が満たされていることを,システム担当者が証明する必要がある
イラスト:ミオササノッチ

 これらが十分でないならば,大きなリスクが存在していると判断できるだろう。例えば,「(1)アクセス権管理が甘い」ため,経理部門しかアクセスしてはいけないデータを一般社員が操作できる,「(2)不正入力が可能」なために,架空の取引先に商品を発注される,「(3)開発と運用が分離できていない」ために,売り上げをかすめ取るプログラムを開発兼運用担当者に不正に仕込まれる,「(4)変更管理ができていない」ために,知らない間に誰かがプログラムを変更し,会計のロジックに誤りが発生している,といったものだ。

 次回から,大きなリスクの具体例とその対策を紹介する。これを読むことで,日本版SOX法対応で求められている内部統制の観点での問題点とはどのようなものか,それらの対策(=統制する)とはどういうことなのかを理解できるだろう。