日本版SOX法による内部統制厳格化の義務付けが“1年先送り”される。報道によると、日本版SOX法と称している制度が盛り込まれる金融商品取引法(投資サービス法)案で、2008年4月以降に始まる事業年度から適用されることになったとのことで、上場企業が対応に迫られるのは、最短で2009年3月期決算からということになる。
ITベンダーやITサービス会社の中には、「えっ!」と絶句した人も随分いたことだろう。昨年後半から、「日本版SOX法」というキーワードはあれよあれよという間に肥大化していた。「2000年問題」以降で最大のIT案件になりそうだというとの見通しが広まるにつれ、我も我もと“SOX法市場への参入”が相次いでもいた。
当初の話では、日本版SOX法による内部統制厳格化の義務付けは、早ければ2007年4月からだった。マスコミも、コンサルタントも、ITベンダーもユーザー企業に対して「早く対応しないと間に合いませんよ」と煽った。それはいい。当然だ。しかし、このような時期の話は独り歩きする。今回も、いつの間にか、人の頭の中や、世間の話題の中で「早ければ」がとれてしまい、「2007年4月の義務化」が確定事項のようになってしまった。
だからITベンダーやITサービス会社は随分前のめりになっていた。内部統制の意味もよく分からない営業が、ついこの間まで「個人情報保護ソリューション」として売っていた商材を「SOX法対応ソリューション」として売り歩くという、恐るべき事態が進行しつつあった。そういうわけだから、今回の“1年先送り”は頭を冷やすにはちょうどよい。
ユーザー企業から言えば“1年先送り”はむしろ当然、妥当な話だろう。2007年度からの義務化では、対応するのが至難の技だったからだ。2008年度からでも実は大変だが、これにより、今年はじっくりと内部統制を勉強し、自社の業務プロセスの見直しなどに取り組める。そして、その上で来年、比較的余裕を持ってIT面など内部統制のツールの導入を検討することができる。
ITベンダーもITサービス会社も、ここはじっくりと腰を落としてSOX法対策に取り組んだ方がよい。出来の悪い「SOX法対策ソリューション」を売り込むぐらいなら、やるべきことはいくらでもある。自身も上場企業なら、 ユーザー企業に先駆けて内部統制を確立すべきである。特にITサービス業界は、メディア・リンクス事件など、日本でもSOX法の必要性を広く認識させるきっかけを作った業界であることを忘れてはならない。
それに上場企業でなくても、ユーザー企業との取引関係、商慣行の見直しを働き掛けることで、ユーザー企業の内部統制確立に“貢献”できる。日本公認会計士協会が ITサービス会社の会計監査上の留意点としてまとめた文書の中で、「得意先に内部統制上の問題があり、正式な承認手続きを経ないまま検収書が発行されている」などと指摘されるほど、現行のSI取引には問題ありだからだ。
