2008年4月以降に始まる事業年度から,いよいよ日本版SOX 法が適用される。大多数の企業にとっては初めての取り組みであり,2007年は混乱も多かった。内部統制の動向に詳しい3人に,現状分析を踏まえ,2008 年の行方と企業が留意すべき点を議論してもらった。(聞き手は吉田 琢也=ITpro

2006年6月に成立した金融商品取引法の内部統制報告制度(いわゆる日本版SOX法)が2008年4月から適用されるのにあたり,2007年はユーザー企業もITベンダーも準備に追われました。この1年をどう総括しますか。

島田 日本版SOX法対応の実務ガイドラインである「実施基準」の公開が遅れて2007年2月までずれ込んだため,ユーザー企業の本格的な取り組みが遅れたという印象があります。2007年後半から,ようやく何をやるべきかが見えてきた,という感じではないでしょうか。

吉川 そうですね。ただ実施基準は公開されたものの,その内容には,あいまいな部分が残っています。このため日本版SOX法対応に取り組んでいる企業は,具体的な作業に落とし込むのに苦労しています。依然として手探りで作業を進めているのが実態ではないでしょうか。

企業会計審議会で,日本版SOX 法対応の「基準」および「実施基準」の文書を手渡す安藤英義会長(右)と,これを受け取る山本有二 内閣府特命担当大臣(金融・再チャレンジ担当)(2007年2月当時)
企業会計審議会で,日本版SOX 法対応の「基準」および「実施基準」の文書を手渡す安藤英義会長(右)と,これを受け取る山本有二 内閣府特命担当大臣(金融・再チャレンジ担当) (2007年2月当時)
 
日本版SOX 法対応への取り組み方
日本版SOX 法対応への取り組み方
日本版SOX法の対象かどうかに関係なく,「取り組んでいる」という回答が過半数を超えた(有効回答=1904)

具体的にどのあたりが,あいまいなのですか。

吉川 例えば,リスクをどのようにとらえるか,ということです。日本版SOX法対応では,業務プロセスを文書化し,財務上の観点からリスクを明確にしなければなりません。ところが,何がリスクかという肝心なことを,文書化作業にあたる担当者の判断に委ねているのが実態なんです。

島田 業務部門の担当者が日常業務のなかで財務上のリスクを意識することは,ほとんどありませんからね。当然,リスクの定義が適切でないケースも出てきます。

 リスク評価の範囲についても同じことが言えます。実施基準では「売上高の3分の2」に相当する重要な拠点や子会社を対象として,リスクを評価すればよいことになっていますが,残り3分の1を単純に対象から外して大丈夫なのか,という疑問が残ります。

 例えば商社は,様々な事業の集合で成り立っていますよね。そのような企業では本来,個々の事業に対してきちんとリスクを評価することが必要なはずですから。

島田 システム部門が直接かかわるIT統制に関しても,あいまいな部分があります。例えばIT全般統制おける「変更管理」は,重要視されているにもかかわらず,具体的に誰が何をやればいいのかがはっきりしていません。

 IT統制の“参考書”としては,実施基準以外にも,経済産業省が公開した「システム管理基準 追補版」があります。日本版SOX法対応に取り組むシステム部門向けに書かれたものですが,「これをやっていればOK」ということを保証するものではありません。