「1年半という短期プロジェクトで、何とか内部統制監査に間に合わせた。しかしIT全般統制については、数百の宿題が残った」──。
ケーブルテレビ大手のジュピターテレコム(JCOM)が、昨年12月に初回の監査を迎えた米SOX法対策プロジェクトの内情をこのように語った。5月28日に都内で開催されたセミナー「実践!内部統制プロジェクト2007」(主催:日経BP社)で、プロジェクトを指揮したインターナルコントロール推進部の稲木幹雄部長と、同部の平山準マネージャーが講演したものだ。
JCOMは、ナスダックに上場する米リバティ・グローバル(LGI)と住友商事による合弁会社。LGIの連結企業になるため、2006年12月期からの米SOX法の監査対応が必要になった。米SOX法対策プロジェクトを始動させたのは2005年7月で、対策期間は1年半と短かかった。
稲木部長によると「SOX法対策のうち、最も手間取った作業の一つがIT全般統制だった」という。JCOMの場合は対象になった情報システムは30あり、その開発体制や運用体制を文書化したり、弱点を補ったりといった対策をプロジェクトの前半で済ませたはずだった。しかし評価段階で問題が発覚した。「原則として、すべてのシステムに通用するひとつの文書(マニュアル)を作成した。しかし現実の運用体制はシステムごとに差異があり、文書通りに運用されていないケースが判明した」(平山マネージャー)のである。このためIT全般統制に多くの不備を抱えることになった。
評価にかかる手間も大きかったという。有効性をテストする項目は合計で1000以上に上り、2006年8月から12月までと実に5カ月をテスト期間に割いた。稲木部長は「IT全般統制の本質は『管理の見える化』にある。ITの管理体制を監査人にどう可視化して示すかを意識して、対策を進めるべきという教訓を得た」と語った。
IT全般統制の不備は、直接は業務プロセス上の不備にはならない代わりに、業務システムのテスト評価が重くなる。JCOMは今年もIT全般統制の強化を進めることになるが、初年度の経験を基に、「子会社を含めた情報システム一本化を検討する」(平山マネージャー)。またスタッフの更なる教育・啓蒙に力も入れていくという。
稲木部長は、「業務プロセスに関しても、不備を評価段階まで見逃さず、より早い段階で発見することが重要」と強調した。不慣れな初年度は、評価段階で多くの不備が見つかると、不備の対策という手戻りで多くの労力が割かれ、今度はテスト作業が円滑に進まなくなる。終盤に入ってプロジェクトが悪循環に陥る恐れが高まるという。同社の場合、約2000のコントロール(リスクを抑えるための対策)がテストの対象になったという。
