システム部門はJ-SOX『ITへの対応』にどう取り組むべきか

日経コンピュータ

2007.02.20

　やっと登場した――こう思っている関係者が多いのではないだろうか。金融庁が2月15日に正式公開した日本版SOX法（J-SOX）の「実施基準」の話である。記者もそう感じた一人だ。

　実施基準とは、日本版SOX法が求める内部統制の整備や評価、監査をどのように進めるかを示した実務上のガイドラインを指す（実施基準関連の情報は「内部統制.jp」を参照）。金融庁企業会計審議会内部統制部会が、実施基準の作成を決定したのは2005年12月。そこから待つこと1年あまり、日本版SOX法の適用年度が始まる2008年4月（決算期が3月の場合）まで13カ月強というタイミングだ。まさに「やっと」という表現がピッタリではないだろうか。すでに実施基準を読まれた方も多いだろう。

　実施基準の正式名は、「財務報告にかかる内部統制の評価および監査に関する実施基準」。文書は、金融庁のWebサイトからダウンロードできる。この文書は、実施基準と日本版SOX法の考え方を示した「基準」（正式名称は「財務報告にかかる内部統制の評価および監査の基準」、これまで通称「基準案」と呼ばれていた）を合わせたものだ。

　実施基準が登場するまで、日本版SOX法対象企業のシステム部門は「実際のところ、何をすればいいか分からない」と悩むことが多かった。現在では、「実施基準に書かれている事例を参考にしながら、対策を考えればよい」となる。

「やはり、あいまいな部分が多い」との声

　だが、これでシステム部門の悩みは解決したのだろうか。複数の担当者に話を聞く限り、どうもそうではなさそうだ。特に担当者を悩ませているのは、日本版SOX法の『ITへの対応』に対してどう取り組めばよいかが、実施基準を読んでも相変わらずあいまいなままであることだ。

　日本版SOX法では周知の通り、内部統制の整備に欠かせない六つの基本的要素の一つとして『ITへの対応』を挙げている。『ITへの対応』以外の五つの要素は、世界的に事実上の標準となっている内部統制のフレームワーク「COSO」を踏襲している。『ITへの対応』だけが、日本版SOX法の中で言わば特別扱いになっているわけだ。

　これが、システム部門やITベンダーに対して「日本版SOX法への対応でITは欠かせない」との認識を広めるきっかけになったのは間違いない。実際、実施基準が公開されてからというもの、日本版SOX法に関連する製品やサービスが毎日のように登場している。

　それだけでなく、『ITへの対応』はシステム部門やITベンダーに対して、実施基準に対する“飢餓感”をあおる役割も果たしたといえるだろう。実施基準に先立ち、2005年12月に公表された「基準案」（現在は「基準」）では、『ITへの対応』で何をすればよいかが、ほとんど分からない。そこで実施基準が出てくれば、『ITへの対応』について「詳細な記述がされるのではないか」との期待感が非常に膨らんでいたのである。

　いざフタを開けてみると、実施基準は基準（案）に比べ、確かに具体的な例示は増えている。ところが「何をどうすべきか」といった細かなことまでは書かれていない。これが上記の「実施基準を読んでも相変わらずあいまいなまま」という反応につながっている。

　もっとも金融庁は当初から、「実施基準は、どの企業にも共通する考え方を示すもので、詳細な対策を書くものではない」との趣旨を繰り返し述べてきた。それでも、「もう少し具体的に『ITへの対応』について記述があるのではないか」と、システム部門やITベンダーの担当者が実施基準に期待していたのも事実だ。

部会ではほとんど議論されなかった

　こうした声は、基準や実施基準を作成した当事者には届いていたのだろうか。記者は、2005年11月の第12回から計5回にわたり、内部統制部会に参加したが、その中では『ITへの対応』について、ほとんど議論がされなかった、というのが印象だ。

　実施基準が公表されてから、内部統制部会の関係者に「『ITへの対応』のために何が必要なのか」を尋ねてみると、異口同音に「システム部門に対して、大幅なシステム刷新や組織改正などを求めるものではない」という答えが返ってくる。実施基準の作成に携わった公認会計士は、「システム部門がやっていて当たり前のことを書いている。これまで、出来ていなかったことを可能にする必要はあるが、全く新しいことをしろということはない」と解説する。確かに実施基準を読むと、随所にそんなニュアンスが感じられる。

　『ITへの対応』がこうした意味を持つことについて、記者が参加した部会ではいっさい議論されることはなかった。使っている用語が「分かりにくい」と委員が指摘することはあっても、『ITへの対応』が「企業のシステム部門にどのような影響を及ぼすか」に関する議論は、ほとんどなされていないに等しかったのではないだろうか。

　実際に内部統制部会に参加した経験をお持ちのある方は少ないと思うので、その様子を簡単に説明しよう。会議は、金融庁が用意した文書について委員が意見を言う、という形式で進んでいく。議論が「激論」になることはなく、委員が出した意見や質問に対しては、金融庁の担当者か部会長を務める八田進二・青山学院大学大学院教授が回答する。記者が初めて部会に参加したときには、あまりに議事が淡々と進むので、非常に驚いた記憶がある。ちなみに、議論の内容は、部会が終了して数週間後に金融庁のWebサイトで公開される。