業務を見直すチャンス

Y なぜ皆,米国のSOXという言葉を踏襲するのかねえ。なにか不気味なものが世界中で流行っているような気がする。まあ,世界の企業すべてが内部統制報告制度の整備に全力をあげ,総すくみ状態に入れば,国際競争が緩和されてちょうどいいのかもしれない。

S やっと本題に入れますが,J-SOXというか,内部統制報告制度はそれほど悪いものではない,と思っているのです。Yさんのようにとらえると,企業を萎縮させる元凶みたいに見えますが,私は「システム部門の業務を見直す良いチャンス」ととらえています。さらに,「主張するシステム部門を作るチャンス」でもあると評価しています。

 「業務を見直す」というのは,「J-SOXに対応する」という意味ではなくて,情報システム部門が「ちょっとこれは問題かも」とかねてより思っていた業務を修正することを指します。「米SOX法対応を経験した日本企業」には,米国企業の日本法人と,米国でSOX法対応に取り組んだ日本企業があるわけですが,こうした企業に取材をすると,「今まで直したくても,直せなかったことを直すいい機会だったよ」という意見が圧倒的に多いのです。もちろん「対応は本当に大変だった」という意見付きですが…。全否定する意見はまったく出ません。米国企業に取材してもほぼ一緒です。「あんなの最悪だ!止めて欲しい」という企業はありません。

Y それはちょっと見方が甘い。大金を使ってSOX法対応をした当事者が「アホらしかった」とは口が裂けても言えないだろう。

S SOX法対応は継続していくものですから,取り組む社員のモチベーションを維持するためにも「役立った」と言わないといけないという側面があるかもしれません。でも「今まで直したくても,直せなかったことを直す」という側面もあり,こちらのほうがはるかに重要と思います。

Y 「今まで直したくても,直せなかったことを直す」というのは実際にはどんなことなのかな。

直したかったことを直す

S 例えば,外部委託先管理があります。自社のシステムをベンダーに任せきりにしていた企業は,SOX法に対応するため,文書でのやり取りが絶対に必要になります。10年以上も付き合っているベンダーに「明日からは勝手に仕事を進めず,文書でのやり取りと互い承認作業を必須にします」と通告したいと考えても,日本人の心情上,なかなかできません。だからといって,自社のシステムに対して,どういう保守が行われれているのかをシステム部門が把握できないというのは,おかしな話です。J-SOXは,「きちんと文書でやり取りしたい」という自覚を持っていたシステム部門の方々に,業務を見直す良い機会を提供するわけです。

Y 昔,ISOが決めた品質マネジメントシステムを導入するブームがあった。外部委託先とのやり取りの文書作成なんて,その時にやったはずなんだけどなあ。

S その頃はまだ学生だったもので…。もう一つ例を挙げますと,海外子会社のシステムに対するガバナンスがあります。これまで日本の本社の言うことをきかなかった海外子会社に,「SOX法対応だから」と指示を出す。自分勝手にバラバラのシステムを構築している海外子会社に,本社の言うことを聞いてもらい,本社システム部門にコントロールを取り戻す格好の機会だと思います。

Y グローバルなシステム統一とかガバナンスも10年以上前から言及されていたねえ。まあ,「新しくない」と嫌味を言っていても仕方がない。そういう利点があることは分かる。ただ,実際には,余計な文書まで作ったりして,差し引きするとマイナスになってしまわないか。

S それは否定できません。冒頭にお話したと思いますが,J-SOX対応に限って言えば,「これをしろ!」ということは,どこにも,一言も,書いてありません。そこを誤って「~してはいけない」と解釈すると,過剰な管理につながり,システム部門にとって負担以外の何物にもなりません。

 分かりやすい例を挙げると,「J-SOXに伴う外部監査を通るためには,システム開発部門と保守・運用部門を分けなければならない」という通説があります。外部監査を「通る」という考え自体,J-SOXにおいてはおかしいのですが,ここはよく使う言い回しにそっておきます。確かに,このように分離をしないとなかなか外部監査は通りません。しかし,実際には人や組織を分けることは必須ではないのです。

Y こういう言い方があるのかどうか分からないが,コントロールが効いていればいいわけだね。

S ええ。やるべきことは,システムの保守内容を記録し,悪いことが起こっていない,と証明する。これだけです。つまり,システムを保守した際に,間違っていないか,不正がないかを確認しておく。これはシステム部門に課せられている当然の役割だと思います。その役割を果たす方法はシステム部門が自分で考えればいいわけで,内部・外部問わず,監査人が納得する方法で実施すればよいのです。繰り返しになりますが,「開発と運用組織を分けよ」と誰かが命じているわけではありません。もちろん,システム部門が自分で考えた結果,組織を分けてもよいのです。