「日本版SOX法(J-SOX)で企業の現状を可視化した。これをリスク・マネジメントに取り組むチャンスととらえるべき」。「J-SOX対応が、財務報告に限らずリスク・マネジメント全般につながるかどうかは経営者の意思次第」――。東京ビッグサイトで開催中の「エンタープライズ・リスク・マネジメント2008」で、「“攻め”と“守り”のITガバナンス」と題して専門家二人によるパネル・ディスカッションを行った。
登壇したのは日本IBMグローバル・ビジネス・サービス事業アプリケーション・イノベーション・サービスの糸井雅晴アソシエイト・パートナー(写真1)と監査法人トーマツのエンタープライズリスクサービス部の丸山満彦パートナー(写真2)。ITガバナンスやERM(エンタープライズ・リスク・マネジメント)をテーマに議論を繰り広げた。モデレータは日経コンピュータ副編集長の田中淳が務めた。
冒頭の発言は「J-SOX対応がITガバナンスやリスク・マネジメントにつながるか」というテーマでの各人の発言。「チャンスととらえるべき」とした日本IBMの糸井アソシエイト・パートナーは「システム部門はJ-SOX対応でわかった結果を利用して、システム統合など攻めに転じるべき」と強調。「業務の現状を可視化することで、社内の状況が初めてわかる。極端な話、同じような処理をするアプリケーションをメインフレームとパソコン上の表計算ソフトで事業部ごとに作っている場合だってあるかもしれない」と糸井アソシエイト・パートナーは説明した。
一方「経営者の意思次第」とした監査法人トーマツの丸山パートナーは「J-SOX対応でよかったのは、トップダウン型でリスクにかかわる情報を全社的に伝達する仕組みができた点」とみる。「情報の伝達がリスク・マネジメントの基盤になるのは間違いない。ならば、使わなければもったいないだろう」とした。
また「ITガバナンスやERMを実現するうえで今後、フレームワーク(枠組み)は役立つか」という質問について、糸井氏、丸山氏の両社とも「役立つ」とした。ここでいうフレームワークとはITガバナンスの事実上の国際標準となっている「COBIT」や、経済産業省が公表している「システム管理基準」などをいう。
丸山パートナーは「日本企業はITガバナンスを実現するための個々のプロセスについてはしっかりしているが、それぞれのプロセスの関係を整理してまとめることが苦手。考え方を整理するためにはフレームワークを参考にしたほうがよい」と強調する。フレームワークを利用する際は「考え方をしっかりと理解して、自社向けにそしゃくすることが重要」(丸山パートナー)とした。
一方、糸井アソシエイト・パートナーは「フレームワークは共通言語になる」と説明する。「同じフレームワークを利用している他社の事例を参考にしたり、経営統合があった際に両社のシステムを比較する場合に自社のITガバナンスの成熟度をチェックできるといったメリットがある」(同)。
これからITガバナンスやリスク・マネジメントに取り組む企業に対し、日本IBMの糸井アソシエイト・パートナーは「リスクマネジメントというと、J-SOX対応で苦労している企業が多い。だがこれを後ろ向きにとらえずに、自社のシステムを見直す原動力にしてほしい」とアドバイスした。
監査法人トーマツの丸山パートナーは「J-SOX対応をきっかけにシステム部門でも会計など、社内のほかの業務に目を向けるきっかけになった。会計以外にも複数の部門を経験したシステム部門の担当者が、再びシステム部門に戻ってくるなどのキャリアパスを用意することで、ITガバナンスやリスク・マネジメントに欠かせない経営の視点を取り入れられるようになるだろう」とした。
