日本版SOX法(J-SOX)の適用がついに始まる。現状で対応が「ほぼ完了した」というシステム部門は10%に満たない。残りの企業はあと1年以内に対応を完了させなければならず、対応策の優先付けなどが迫られる時期になった。今回と次回は、システム部門の問題点とその対応策を探る。

 日本版SOX法(J-SOX)対応におけるシステム部門の現状の問題点は、アクセス管理、変更管理、委託先管理、そして監査対応──。コンサルタントや公認会計士などJ-SOX対応の専門家の指摘を集約すると、こうなる(図1)。

図1●専門家が指摘するシステム部門のJ-SOX対応のチェックポイント
図1●専門家が指摘するシステム部門のJ-SOX対応のチェックポイント

 日本情報処理開発協会(JIPDEC)が上場企業508社のシステム部門の責任者を対象にした調査では、J-SOX対応で有効性評価やプレ監査を終えた企業は7%しかない。「かなり対応」と回答した企業は40%いるが、有効性評価やプレ監査は受けていない状態だ(図2)。

 有効性評価は、企業内の監査人が自ら内部統制の整備・運用状況を評価することだ。プレ監査は本番年度を迎えるにあたって、公認会計士などの外部監査人が内部統制の有効性を監査する作業を指す。評価・監査後には、内部統制の不備などの問題点が続々と指摘される可能性が高い。システム部門のJ-SOX対応は、まだまだ十分とは言いがたいようだ。

図2●J-SOX適用企業のシステム部門の対応状況
図2●J-SOX適用企業のシステム部門の対応状況
[画像のクリックで拡大表示]