最近、ERPソフトを導入する大手・中堅企業の多くは、思いっきりカスタマイズするそうである。なぜかと言うと、日本版SOX法対策のためである。「えっ! それって変じゃないかい」と第一感、思うのだが、どうやらそれが現実のようだ。それどころか内部統制の整備のためにERP導入を凍結する企業も出てきたとのことで、日本版SOX法騒動は変な展開になってきた。
理屈で考えると、日本版SOX法対策のためには、ERPなどの業務パッケージは可能な限りノンカスタマイズがいい。別にERPソフトなどにIT統制の“ベストプラクティス”が詰まっているとは言わないが、カスタマイズしないで導入すれば、少なくともIT統制を評価・監査する上では大きなアドバンテージがある。
なんせ、外部の第三者よってIT化された業務プロセスをそのまま使うわけだから、そのIT統制は信頼でき、その評価も容易だ。それにERPベンダーは今、公認会計士相手に「当社の製品は内部統制の強化のためにこんな優れた機能があります」と盛んにマーケティングしており、ユーザー企業としてはパッケージをパッケージとして使った方が、監査上の不確実性を少なくできるはずだ。
ところが、現実はそうはならない。上場企業にとって、日本版SOX法対策で最も重要なことは、適用初年度の不確定要素を可能な限り減らすことだからである。現行の業務プロセスはそのままに、以前から分かりきっているリスクを“把握”し、今でもやっている対策を記述し、そして経営者が評価し、監査人からOKをもらう、これがベストだ。2007年度に業務プロセスの変更を伴うERPを導入して、慣れない業務プロセスで日本版SOX法初年度を迎えたくはない。
だから、今もしくはこれから基幹系システムを再構築しようする企業は、既存の業務プロセスをそのまま新システムに反映しようとする。だから、ERPであろうが何であろうが、キンギンにカスタマイズすることになる。まさに「As-Is万歳、To-Beって何の話」の世界である。まあサプライサイドの観点から言えば、カスタマイズ仕事が増えるわけだから、それでよいと言えばよいのだが・・・。
さらに、こちらはサプライサイドにミゼラブルの話だが、2008年度に向けてERPなど基幹系システムの案件自体が凍結されるケースが出てきそうだ。この前、「迷走する“SOX法対策商談”、それって何か変じゃないか」でも書いた懸念が、現実のものになりつつある。
まず、日経ソリューションビジネス2月15日号で指摘していたことだが、日本版SOX法初年度の2008年度の商談は厳しい。2007年度についても、下期から構築に着手ではカスタマイズが間に合わなくなる恐れがあるため、後半の商談には黄信号がともる。実際、ある大手SIerの経営幹部がぼやいていたのだが、「大型のERP導入案件が、『時期が悪い』というユーザー企業の判断で順延になった」そうである。
それにしても、なんか変なことになってきた。本来なら日本版SOX法の登場は、企業が自身の業務プロセスを“見える化”する機会にすべきであった。なにも「財務報告に係る内部統制」のためだけでなく、業務プロセスの柔軟な組み換えなどよって、企業の成長・効率化につなげる契機として、業務プロセスの“見える化”を推進すべきだった。
ERP導入でギンギンにカスタマイズするなど、むしろ逆行である。これから少なくとも数年間は、旧来の業務プロセスがガッチリとシステム的に固定される。それどころか、文書化の手間に閉口した企業は業務プロセスの変更、つまり業務改革など望まなくなるかもしれない。米国ではSOX法による米国企業の競争力低下を懸念する声が出ているが、これでは日本企業の競争力も落ちる。
日本版SOX法は投資家保護の観点から作られたと聞くが、それで投資家は満足なのだろうか。やはり、個人情報保護にさほど役に立たず企業に負担ばかりを強いる個人情報保護法と同じで、個人的にはひどい法律だと思う。まあITベンダーやITサービス会社の立場としては前向きに、こうした新たな課題に対するソリューションを考えればいいのだろうけど。
