「金融商品取引法」に盛り込まれた内部統制制度(日本版SOX法)の実施基準案が11月21日に公表された。その内容はITサービス業界にばら色ではない。長い視点で商機をつかむ戦略が必要だ。



 「これで当社製品は、間違いなく『SOX法対策に有効』と言えますね! 我々も支援しますので、どんどん売って下さい」。金融庁が実施基準案を公表して以降、伊藤忠テクノソリューションズ(CTC)BI&セキュリティ推進課の市川順之課長には、勢い込んだベンダー担当者のこんな電話がよくかかって来るという。

 確かに今回の案には「適切なアクセス管理ができているか」「作成した記録は5年間保存すべき」など、ITベンダーが小躍りする文言が随所にある。しかし市川課長を含め、「ユーザーはもっと冷静で、基準案は直ちにIT商材の需要を喚起しない。むしろ、当初は手間が掛かって儲からない」と指摘する関係者は多い。

 今回の案を契機に、8割近くあるという日本版SOX法対策に未着手だった企業も確実に動き出す。ではITサービス業界は商談にどのように臨むべきか。

評価の絞り込みも監査人次第

 今回の実施基準案は、(1)評価基準などにメドとなる数値目標を明示、(2)米SOX法の反省を踏まえ、企業が行う作業に無駄・手戻りが起こらないよう配慮―などの点が特徴だ。

 (1)の数値目標は、虚偽などの影響額が「税引き前利益の5%以内」に抑えられた場合に「内部統制は有効」と判断することが、最も重要な点である。

 経営者が行う評価作業にも、絞り込みの条件を明示。まず「全社的な内部統制」を評価し、その結果が「有効」ならば「売上高の3分の2以上を占める事業」に対象を限定できる。内部統制で最も負荷が大きい業務の文書化を、その分だけ軽減できる。今回の案が「産業界の声にも耳を傾け、米国より企業の負担を軽減した」(金融庁企業開示課)といわれるゆえんだ。

 (2)の無駄・手戻りを防ぐ最大の配慮は、経営者が作業の節目ごとに監査人と事前協議することを容認した点。例えば、評価(文書化)の範囲を決めたら監査人の合意を取ることができ、内部統制の整備前にはその対策が有効かどうか、意見を求めてもよい。

 ただし注意が必要なのは、監査人の判断次第では、作業の量や質は決して緩くならない点だ。例えば評価範囲の絞り込み。トーマツ企業リスク研究所の久保惠一所長は、個人的見解としながらも「全社統制が良好でも、顧客企業には大半の事業部門を評価対象にするよう求めるべき」と断言する。なぜなら監査人が最も重視するのは「利益の5%まで」という監査の“精度”。この基準がある以上、「売上高の3分の1近くを評価しないリスクは大きすぎる」(久保所長)。例外は、同一の業務プロセス、同一の情報システムを全店舗に展開している流通、飲食チェーンなどに限られるという。



本記事は日経ソリューションビジネス2006年12月15日号に掲載した記事の一部です。図や表も一部割愛されていることをあらかじめご了承ください。
同誌ホームページには,主要記事の概要や最新号およびバックナンバーの目次などを掲載しておりますので,どうぞご利用ください。
日経ソリューションビジネス・ホームページ