村上ファンド騒動の中、いわゆる“日本版SOX法”、金融商品取引法が成立したそうだ。私はこの前、「日本版SOX法など廃案にしたらどうか」と書いたが、時すでに遅し、だったようだ。今後は、年内にもまとまるという「実施基準」が、どれだけ経済的合理性のあるものするかが焦点になる。つまり、コンサルタントや会計士、ITベンダーを儲けさせ過ぎないような内容することが、重要ということだ。

 そのITベンダーだが、SOX法が騒がれ始めたとき、「財務報告に係る内部統制」では情報の機密性は直接の対象にならないにもかかわらず、個人情報保護対策の商材を“内部統制ソリューション”と言いくるめて、売り込もうとした。さすがに最近は、そんなお馬鹿はいなくなったと思っていたら、やはり悪い癖が出てきたようだ。

 先日、あるユーザー企業のCIOが「ITベンダーは危機感を煽って、システムを売りつけようとする」と憤慨していた。これダメだよね。この言葉、これまで何度聞いたか、分からない。Y2Kしかり、個人情報保護法しかり、そしてERPやSCMブームの時もそうだった。そのたびに、ITベンダーは信用を落としてきた。「Y2K以来の大型商材」と色めき立つのも分からなくはないが、もっと丁寧なマーケティング戦略を立てないと、またもやひんしゅくの的になってしまう。

 ただ、ITベンダーの主張のうち、「IT全般統制については、SOX法対策に先行して整備すべきだ」との提案には与してもいいかな、と最近思っている。ITガバナンス的なアプローチでも、ITIL的なアプローチでもよいのだが、情報システム部門の業務における内部統制、つまり日本版SOX法で言うところのIT全般統制について、特に運用・保守のプロセスにおいて先に手を打っておいた方がよい、との主張だ。

 原理原則では、情報システム部門の業務プロセスにおける内部統制は、全社的なSOX法対策の取り組みの一環として行われるべきである。IT全般統制の評価の範囲も、財務諸表に重大な影響を与えるアプリケーションに関連する情報システム部門の業務プロセスに限定される。だから、まず財務報告に係る内部統制の評価の範囲が決まらないと、IT全般統制の話もできないというのも、理屈ではおっしゃる通りだ。

 ただ、およそ情報システム部門が管理するシステムで、“財務報告に係らないアプリケーション”など、どれくらい存在するのだろうか。しかも、情報システム部門の業務プロセス上の内部統制については、単にSOX法対策だけでなく、様々な観点から強く要請されている。そのことは、カイゼン活動と称してプログラムを改ざんして、現金を盗み取ったNTTデータ元社員の事件などを想起すれば、それはすぐに理解できるだろう。

 内部統制の要諦は、業務プロセスの“見える化”にあるといわれている。業務フローをドキュメント化し、不正やミス、事故につながるリスクを明確化して、そのリスクを防ぐ方法も記述する。そして、ドキュメント化した手続きを守ることを組織として徹底する。つまり、リスクをコントロール(統制)することを組織の内部でやるから、内部統制である。

 ところで情報システム部門は、自らの業務プロセスをどれだけ“見える化”できているのだろうか。システム開発のプロセスはともかく、運用・保守業務では手順書などの形で、プロセスが記述され、それを遵守している事例はそれほど多くないと思う。特に、NTTデータ元社員の事件でも焦点になり、SOX法対策でも大きな課題になると思われる、プログラムの修正、いわゆる「変更管理」については、ほとんどの企業がその手続きをドキュメント化していないのが実態だろう。

 だから、情報システム部門はこの際、自らの業務プロセスにおける内部統制の取り組みをスタートさせた方がいい。既にITILに取り組んでいるならば、ヘルプデスクだけではなく、障害管理、変更管理などの“内部統制的な取り組み”を強化させていくべきだろう。さらに、想定されるリスクと、リスクのコントロール方法を表形式で列挙したRCMなどもいち早く準備していけば、SOX法対策だけでなく、システムダウンなど様々な情報システムの危機に対応する有力な備えになるはずだ。

 こうしたIT全般統制の取り組みを先行させれば、ほかにもメリットがある。SOX法対策での全社的取り組みにおいて、情報システム部門やそれを支援するITベンダーが“経験者”として、大きな発言権を確保できる可能性がある。また、このまま放置すれば、ITが全く分からない監査法人から、IT全般統制や業務処理統制の監査に当たり、どれほど過大な要求が来るかもしれない。どのあたりの統制の深さで折り合うか、“経験者”であれば積極発言も可能になる。

 ITベンダーから言えば、こうしたアプローチはITIL関連ソリューションやワークフロー・システムの商談にしかならないかもしれないが、危機を煽って無内容な提案をするより、はるかに筋がよい。さらに、ITベンダーも自身のシステム開発や運用・保守プロセスの“見える化”を進めているはずだから、そのノウハウを提供すれば、ユーザーに対する大きな貢献になるだろう。