一方の改善・維持ソリューションは「評価作業で発見された不備を改善する段階（ステップ4）か、対策の翌年に必要になることが多い」（プロティビティジャパンの豊倉光伺マネージング・ディレクタ）。不備が明らかになれば、権限管理を厳密にする、承認を順守させる、属人的なミスをなくすといった様々な改善策にITを活用できる。不備の内容は企業ごとに異なり、「ユーザー企業が抱える個別課題」といえる。

　逆に勝手な判断で事前にITツールを導入しても、最終的に監査法人の合格が得られなければ意味をなさない。SOX法対策では不要な投資になりかねないため、ユーザー企業も投資は慎重になる。

　ただ、プロジェクト開始から、不備の改善段階までは約1年かかる。商談を前倒ししたい場合は、スコーピングで発見される明らかな不備への対策を提案することだ。米国SOX法対策では手作業で対処したため、IT投資に結びつかなかった。ユーザー企業で対策プロジェクトに参加するシステム担当者に必要な情報を提供しておくことが商談につながる。

　改善・維持ソリューションは、いわゆる「業務処理統制」や「全般統制」などのITを使う統制の改善・維持を主に支援する。業務処理統制は、データの整合性をチェックする、操作ミスを防ぐといった機能で、不正な取引などを発見・防止するシステムによる統制をいう。全般統制は開発、変更・保守、運用、アクセス管理といったシステム部門の業務に対する統制がメインだ。調査では誤解が多かったが、「すべての内部統制」という意味ではない。

　こうしたIT統制の基準は2つあり、日本版SOX法の監査基準案にも反映されている。1つは米SOX法における監査基準で、PCAOB（米国公開会社監視委員会）の「PCAOB監査基準第2号（AS2）」。もう1つは、米ITガバナンス協会と米情報システムコントロール協会の「COBIT for SOX（IT Control Objectives for Sarbanes-Oxley）」だ。COBITを、米トレッドウェイ委員会支援組織委員会（COSO）が作った内部統制フレームワーク「COSOモデル」とひも付けて整理している（図5）。

図5●SOX法対策とIT統制との関係を示す「COBIT for SOX」 [画像のクリックで拡大表示]

　PCAOB AS2には全般統制（ITジェネラルコントロール）が規定、COBIT for SOXには、業務処理統制（アプリケーションコントロール）や全般統制が詳細に記載されている。この2つの基準に対処できる製品やサービスが、改善・維持ソリューションといえる。

ERPやワークフローで業務標準化

　業務処理統制に活用できる製品と言えば、ERP（統合基幹業務システム）/財務関連システムだ。財務会計のほか販売管理、生産管理システムなども対象になる。ERPはシステム間のデータの整合性を確保したり、権限や業務リスクをパラメータ設定で統制したりできることが多い。「SOX法向けの設定が公になっている外資系ERPもある」（プロティビティの豊倉マネージング・ディレクタ）ため、評価作業にも役立つ。ERP導入時に業務を標準化しておくと、文書化・評価するプロセス数が減って負担軽減になる。ERPベンダーが「ERPを導入している企業は、SOX法対策が比較的楽」と主張する理由の1つである。

　ただし、既存の業務システムでも設定変更や運用でカバーできるため、「SOX法のおかげで急激にERPの売り上げが伸びるわけではない」（SAPジャパンのソリューション＆マーケティング統括本部ソリューションマーケティング本部ERPファイナンシャルソリューションの大久保尚氏）。だが、中長期的にはビジネスチャンスが増える。既存システムの統制機能が十分でなく運用でカバーしなければならない企業や、SOX法を機に業務を標準化した企業には、ERP が受け入れられやすくなるからだ。

　ワークフロー、BPM（ビジネス・プロセス・マネジメント）ソフトも、策定した内容に沿った業務遂行を維持できるため、業務処理統制に生かせる。またERPと同様、評価作業にも役立つ。評価作業において監査部門は営業、製造、システム部門など様々な組織と、規定書や作業/評価指示、結果報告など多数の書類を評価プロセスに沿ってやり取りする必要がある。「作業を効率化するのにも、ワークフローやBPMソフトが有効だ」（IDSシェアー・ジャパンの大川原文明コンサルティング事業部ディレクター）。

図6●SOX法対策で求められるIT統制の例[画像のクリックで拡大表示]

アクセス管理は重要市場

　一方、全般統制を支援する製品・サービスは数多い。真っ先に市場が立ち上がりそうなのはID/アクセス管理（図6）。「米国では、財務システムへの不正アクセスに対する統制の不備が多数指摘されて、アクセス管理製品が伸びた」（日本オラクルの西脇資哲システム事業推進本部営業推進部Fusion Middlewareグループディレクター）という。

　特に、複数システムのID情報や権限を一括運用するメタディレクトリ製品が脚光を浴びた。財務に関連するすべてのシステムへのアクセスを漏れなく統制するためである。中には「退社設定から5分以内に全システムのIDを無効にする」という要求をしたユーザー企業もあったという。

　「担当者や管理者ごとの業務や権限を分離して、不正をなくす職務分掌も重要だ」（サン・マイクロシステムズの下道高志クライアント・ソリューション統括本部CSテクノロジー・オフィスプリンシパル・テクノロジスト）。申請と承認が同一人物にはできないなどが職務分掌の一例だが、ID/アクセス管理システムを活用して従業員に順守させられる。国内でも、「もともとの需要に加え、SOX法にも生かせることが後押しになり、伸び始めている」（京セラコミュニケーションシステムの兼光浩也IPサービス事業本部営業統括部長）。

　このほか、開発・変更管理、運用管理ソフトなども全般統制を支援するツールとなり得る。

　全般統制で注意すべきことは、開発・保守・運用の委託先であるソリューションプロバイダも監査対象になることだ。ソリューションプロバイダは自らの内部統制状況を再点検し、有効性を証明しなければならない。

　米国では、アウトソーシング事業者は米国公認会計士協会の監査基準「SAS70（Statement on Auditing Standards No.70）」に基づく監査報告書の取得が事実上、必要になった。証明がないと、監査法人がアウトソーシング事業者をいちいち監査することになり、ユーザー企業に多大なコストがかかるからだ。日本でも、SAS70に当たる日本公認会計士協会の「監査基準委員会報告書18号（監査報告18号）」が公表されている。野村総合研究所など監査報告書を取得する企業が増えつつある。変化についていけないソリューションプロバイダは、SOX法を機にユーザー企業に切られかねない。

（前編はこちら）