「日本版SOX法」のことを聞いたことがある,あるいは大体の意味は知っているという人は多いだろうが,その中で「自分たちに直接関係する」と考えているIT Pro読者はどのくらいいるのだろうか。

 もしも関係ないと思っているのであれば,僭越な言い方で恐縮だが,今からでも日本版SOX法に注目してみることをお勧めする(SOX法の用語解説)。客観的に見て,ユーザー企業の情報システム部門に対しても,システム・インテグレータやソフトハウス,あるいはアウトソーシング・サービスを提供する企業に対しても,日本版SOX法は多大な影響を及ぼす可能性が高いからだ。

もはや「あうんの呼吸」は通用しない

 日本版SOX法は,自社の財務報告に不正や誤りが生じないよう監視やチェックの体制を築く,つまり「内部統制の確立」を企業に求めた法律である。正式名称は「財務報告に係る内部統制の評価及び監査の基準」という。

 その名が示すように,米国で2002年7月に施行された「企業改革法(サーベンス・オクスリー法=SOX法)」に基づいて策定されている。米国のSOX法が,エンロンやワールドコムなどの大手企業が粉飾決算・不正経理で破綻したことを機に策定されたのはよく知られている。会計情報の虚偽記載により西武鉄道やカネボウが上場廃止になった日本の現状は,当時の米国の状況に類似しているのは言うまでもない。

 日本版SOX法の草案は,すでに金融庁企業会計審議会が公表している。これに8月末までに受け付けたパブリック・コメントを反映した上で,正式版を公開する予定だ。早ければ2006年度に法制化される見込みである。その場合,すべての上場企業(10月初めの時点で約3900社)が対象となる。

 この法律が,なぜ情報システム部門やベンダーに大きな影響を及ぼすのか。それは,この法律を順守するためには,これまでのシステム部門やベンダーの仕事のやり方や流れを余儀なく変更しなければならなくなるからである。

 日本版SOX法が求めるのは,財務情報の正確性だ。企業経営で重要な勘定科目について,それがどのように算出されたかを示すプロセスや証拠文書を残し,あいまいな部分がないよう計算されたことを証明する体制を作ることを規定している。

 上場企業の中で会計システムを使っていないところは皆無と言ってよいので,当然,情報システムそのもの,あるいはシステムの開発・運用体制に関しても対応を迫られることになる。例えば,「不正が起きないように開発担当者と運用担当者を分ける」,「開発時のドキュメントとテスト結果を残す」,「アプリケーションの修整履歴とそのテスト結果を残す」などが必要になる。

 日本企業の情報システム部門は,付き合いの深いベンダーや利用部門と“あうんの呼吸”で作業を進める場合が少なくない。「この機能,ちょっと使い勝手が悪いから修整しておいて」,「了解しました」。すべてがそうだというわけではもちろんないが,ちょっとした作業なら,これでうまく回っている。

 ところがSOX法の下では,よい意味でも悪い意味でも,こうした“暗黙の了解”は通用しなくなる。システムに関する要求は文書化した上で,正式なプロセスを経て承認を受け,初めてシステムを修整できる。修整したら必ずテストを実施し,テスト・データや内容を証拠として残さなければならない。これまでとは仕事のやり方をガラリと変える必要があるわけだ。

 「あうんの呼吸を重んじてきた日本の情報システム部門にとって,SOX法はなかなかなじまない」。米NASDAQ(株式店頭市場)に上場しており,米国のSOX法対策を実践しているワコールの尾内啓男 情報システム部長は実感を込めて話す。

連結子会社やベンダーの体制作りも必要に

 日本版SOX法に対応するために,企業の情報システム部門が果たすべき役割は,これだけではない。連結対象の子会社やベンダー側の体制作りも必要になる。

 日本版SOX法は,「連結子会社のITガバナンスも親会社の情報システム部門の担当」と規定している。連結子会社の財務情報にかかわる情報システムが正しい処理を実行しているか,連結決算を作成する際の数字は正確か,システムの運用体制は整っているのか---。親会社の情報システム部門は,こうしたことを連結子会社と連携を図って考慮しなければならない。

 さらにシステムの開発や運用を委託しているベンダーに対しても,会計処理に不正が起きないような仕組みが確立されているかの証明を求めなければならない。万一ベンダーが納めたシステムにバグがあり,それを見抜けなかった場合には,ユーザー企業側が責任を問われることになる。

 そこでベンダー側は,仕様に関するすべての変更履歴を残したり,開発担当者とテストの担当者を分けたりして,内部統制が確立していることをユーザー企業に示す必要がある。この点を確認するのも情報システム部門の仕事になる。

 まだ,日本版SOX法にはグレーな部分も多く残っている。例えば,内部統制のためにITを利用するよう,うたっているが,「情報システム部門が何をすべきか」に関する明確な指針は出していない。企業システムのうち,どこまでをカバーすべきかもあいまいだ。米国のSOX法対策を担当したコンサルタントの一人は,「会計のほかに,販売や購買,原価計算などのシステムも『会計システムにデータを送る以上,SOX法の対象にすべき』との解釈もある」と話す。

 日本版SOX法そのものも,今後の議論で内容が多少変更される可能性がある。ただし,公認会計士などは「内容の大筋が変わることはない」と見ている。2002年から2004年にかけて,米国大手企業の情報システム部門はSOX法への対応で大混乱に陥った。日本版SOX法に関しても,同じことが繰り返される可能性は十分にありえる。

社内システムのあり方を見直すチャンス

 情報システム部門にとって,日本版SOX法への対応が多大な負担になるのは,ほぼ間違いない。ただ,それが法律である以上,いやでも従わざるをえない。だったら,それをシステム部門あるいはシステム全体のあり方を再考するきっかけとして活用する道はないのだろうか。

 実際,そうした効果を得ている先進ユーザーもある。SOX法にのっとって情報システム部門を改革したワコールの尾内部長は,「作業は確かに大変だったが,これまであいまいだった業務を見直し,効率化するいいきっかけになった」と語る。

 ITと内部統制に詳しく,日本版SOX法の公開草案の作成にもかかわっている日本大学商学部の堀江正之教授は,「SOX法は社内の情報システムのあり方を見直すチャンス」と強調する。「内部統制を実現するためにシステムを見直す企業は,『SOX法を乗り切るための対策』ではなく,長期的な視点でシステムの変更を視野に入れるべきだ」(堀江教授)。

 日本版SOX法はまだ草案の段階であり,準備期間は少なくとも1年以上残っている。この法律への対応策を,「情報システム部門あるいはシステム全体の改革」にいかにつなげるかを考える時間は,まだ十分にある。ユーザー企業,ベンダー,コンサルタントを問わず,業界全体で知恵を出し合って,この機を活用するすべを編み出すことができれば,企業の情報システム活用を何歩かでも前進させるのにつながるのではないだろうか。

(島田 優子=日経コンピュータ