日経BP社は2月7日,「NET&COM2007」の主催者企画として「日本版SOX法直前対策」と題した講演会を開いた。講師を担当したのは,情報システム部門向け専門情報誌「日経コンピュータ」で日本版SOXや内部統制に関する記事を数多く書いている島田優子記者(写真)。
いわゆる日本版SOX法の実態である「金融商品取引法」は投資家保護を目的として作られ,企業経営者に対し「内部統制報告書」の作成と,その内容についての監査を受けることを義務づけるものだ。ただし対策にはシステム面での取り組みも必要になる。
対策にあたり,金融庁や企業会計審議会などが複数の指針を出しているが,「システム部門にしてみれば,畑違いの会計や法律用語の“解釈”や実務への落とし込みに難渋することが少なくない」という。島田記者はこうしたシステム部門担当者に向け,国内で既に出された,あるいは現在策定中の各指針のほか,米国のSOX法対策関連文書などの参考文献について,システム部門にとっての「お役立ち度」という観点から紹介した。
講演で触れたのは,企業会計審議会による「基準」(正式名称「財務報告に係る内部統制の評価及び監査の基準」)および「実施基準」(正式名称「財務報告に係る内部統制の評価及び監査に関する実施基準」)のほか,経済産業省による「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」,米ISACA(情報システムコントロール協会)と米ITGI(ITガバナンス協会)による「COBIT for SOX」,日本公認会計士協会による「IT委員会報告第3号/第31号」。
さらに,米国企業がSOX法対策に要した費用や,日本の大手企業へのアンケートなどを材料に,日本企業における対策費用についても考察した。詳細は日経コンピュータ2月19日号の特集として掲載する予定という。
最後に島田記者は,システム部門における日本版SOX対策の「キモ」として2つのことを挙げた。1つは「すべてをやろうと思わない」こと。ガイドラインは,すべての企業のケースを網羅すべく作られるものであり,「自分で考える」のが基本になる。
もう1つは,「監査人の心をつかむこと」。監査人との直接のやりとりを通じ,いかに有用な示唆を受けられるかが対策の成否に大きく響くという。これについて島田記者は「非常に分かりづらく人間くさいようだが,『このシステム部門の人たちは信頼できる』と思われることが非常に重要」とした。
そのためには,各指針を読み込んでおくことはもちろんのこと,「ここに書いてあるのでやりました」「どうしたらいいんですか」といった受身の姿勢ではダメだという。「うちはこれこれこういう風に20年間しっかりやってきました。だから大丈夫です」などと,ロジカルに自分たちの意見を言えることが重要という。
