ITベンダー主導の日本版SOX法ブームは終わり、システム部門が本格的に日本版SOX法対応に取り組む時期が来ている――。最近、日本版SOX法(J-SOX)関連の取材を通じて、こう考えることが多くなってきた。日本版SOX法の適用が始まる2008年4月まで、あと6カ月。システム部門、そしてITベンダーにとっての日本版SOX法は転換期を迎えていると記者は感じている。

 昨年の今ごろIT業界は「日本版SOX法バブル」だった。記者はちょうど1年前、日経コンピュータ2006年9月4日号で「J-SOX狂想曲」というタイトルの特集を担当した。その名の通り、当時のIT業界の日本版SOX法関連ビジネスとその真相を巡る記事だ。特集のため、昨年6月中旬~8月中旬に出荷された製品・サービスの中から「日本版SOX法」と銘打ったものの数を調べた。その結果は34。一方、今年の同時期を調べると16しかない。本番年度が近づいているにもかかわらず製品数は半減だ。

 ITベンダー側のブームが落ち着いたとはいえ、日本版SOX法に対応するシステム部門が「すでに準備万端か」というと、そうではない。今、日本版SOX法に対応しているシステム部門は「日本版SOX法への対応はシステム部門に大きな影響を及ぼしそうだが、実際は何をどこまですべきか分からない」という状況に置かれている。これは、7月24日に公開した記者の眼で募集したアンケートでの回答結果から見てとれる。ご協力いただいた方々にこの場を借りてお礼を申し上げたい。(個々の疑問については、今後内部統制.jp内で、専門家に回答してもらうコーナーを設ける予定である)。

 アンケートではまず、「日本版SOX法対応はシステム部門の業務に影響を与えるか」を聞いた。その結果が以下の円グラフである。「大きく影響がある」との回答が55%、「何らかの影響がある」が41%となった。今回のアンケートでは、回答者が所属する組織のSOX法対応の進捗度などは取っていないため、詳細に分析することはできないが「システム部門にとって日本版SOX法対応は業務に影響を与えるくらい、簡単なことではない」という考え方が一般的といえそうだ。

日本版SOX法対応はシステム部門の業務に影響を与えるか
日本版SOX法対応はシステム部門の業務に影響を与えるか

 一方で「日本版SOX法対応について最も知りたいことは何ですか」と自由意見を求めたところ、「必要最低限どこまで整備されないといけないかが不明確で、要らぬ時間と議論だけで終わってしまう気がする」「自社システムで何をどこまで対応すれば、日本版SOX法に完全に対応できるかが不明」といった意見を多く頂いた。7月24日の記者の眼でも紹介したように、実施基準や監査指針といった日本版SOX法にかかわる文書は「あいまい」と受け取られても仕方ない書き方になっている。実際に「最低限、何をすべきかを書いた文書を金融庁は出すべきだ」といった趣旨の意見も複数あった。

 ではこの先、一体どうすべきなのか。その回答の一つは、やはり米SOX法404条に対応した日本企業のシステム部門の担当者が持つ経験にあると記者は考える。米SOX法対応企業の多くが、今から2~3年前に同様の経験をしているからだ。各社が対応を始めたのは2004~2005年。「当時は、米SOX法関連だけでなく、内部統制にかかわる資料も日本語のものはほとんどなかった。ましてやITに限って言えば、ITガバナンスのフレームワーク『COBIT』くらいしか教科書はなかった」と、ある米SOX法対応企業のシステム部門のSOX法対応担当者は振り返る。

システム部門の交渉が、対応工数を左右する

 日本版SOX法よりも参考資料が少ない中で対応を進めた、米SOX法企業の担当者が重要だと指摘するのは「監査人との協議」だ。米SOX法では監査の独立性の観点などから、日本よりも厳密に監査人との協議を制限していたが、それでも「監査人と話し合いながら、自社にとって最適な対応策を見つけていくことが基本だ」という。

 一方で「監査人の指摘には、終わりがない」と各社の担当者とも口をそろえる。「前回、監査人から指摘されたことを修正していたとしても、毎回、新たな不備を指摘される」のだ。ある公認会計士は「監査人の仕事は不備を指摘すること。もし前回の指摘が修正されていたら、より完璧な内部統制を求めるために、さらに高度な要求をする場合もある」と打ち明ける。こうした状況では、「どうすれば監査で認めてもらえるのか」という視点で対応を進めていると、いつまでもSOX法対応は終わらない。

 そこで必要なのが、「自社に合った対応策をシステム部門が交渉すること」(NISグループの高瀬尚彦 内部統制部長)である。とはいえ、監査人との交渉は簡単ではない。NTTドコモ監査部の鈴木一寿システム監査担当部長は、「当初は監査人の考えと異なっていても『当社の考え方は違う』とは言いづらかった」と振り返る。だが同社は、監査人から過剰なテストを求められたと感じた際などは、代替手段を提示。コスト対効果の視点から両者の納得いく方法に落ち着かせるなどの工夫をした。前出のNISグループも監査人がIT統制の要求事項として提示した80の項目の中から、交渉により6項目を削除した。

 米SOX法対応企業の担当者の話を聞いて、SOX法対応で欠かせない要素の1つは「主張するシステム部門」の存在だと強く感じた。日本版SOX法対応がシステム部門の業務に影響を与えるのは間違いない。一方で、いつまで待っても「最低限どこまでやるか」を示した文書は出てこない。ならば、システム部門が自社に必要な対応を考えることが、日本版SOX法対応の工数を最適化する最良の手段ではないだろうか。