「SOX法対応」と銘打ったソフトウエア製品が続々登場している。用途を大別すると、SOX法対策プロジェクトを支援する、業務に内部統制の仕組みを入れる、情報システム部門の内部統制を支える、となる。新たに開発された製品は少ないものの、企業は各ソフトの実態を見極め、用途に応じて使い分ける必要がある。
 図1 「SOX法対応」を名乗るソフトウエア製品の分類 [画像のクリックで拡大表示] |
1月から3月末まで、日経コンピュータ編集部に届いた新製品のニュースリリースを調べると、「SOX法」と書かれたものが50以上あった。この数にはハードウエアやサービスを含むが、圧倒的にソフトウエア製品が多い。ただし、ソフト群を見わたすと、SOX法をにらんで新規に開発されたソフトと、既存ソフトを機能強化したものが混在している。中には、特段の強化をせず「SOX法対応に役立つ」と言っているだけのソフトもある。
玉石混交の状態と言えるだけに、企業の情報システム部門は、「どのような分野のソフトがSOX法対応を名乗り、どの機能が新しいのか」をおさえておく必要がある。SOX法対応の一環として、ソフト製品を利用する可能性があるからだ。
「SOX法対応」を名乗るソフト群は大きく二つに分けられる。一つは、「SOX法対策プロジェクト支援ソフト」と呼ぶべきもの。企業がSOX法に対処する場合、社内の監査室や経理部門、財務部門が中心となって、財務報告で間違いを起こさないようにする内部統制の仕組みを作るとともに、内部統制が機能しているかどうかを確認し、問題があれば修正していく。
一連のプロジェクト活動を支援するソフトが新規に開発されている。主な機能は、プロジェクトマネジメントと、内部統制に関する文書の作成支援と管理である。
もう一つのソフト群は、財務報告に関連する個々の業務プロセスに内部統制の仕組みを実装するためのもの。これらは、会計、販売、購買といった業務プロセスを対象とする「IT業務処理統制」のためのソフトと、情報システム部門の内部統制である「IT全般統制」のためのソフトに分けられる(図1)。
自動化と可視化がカギ
内部統制の仕組みを実装するための主な機能は二つある。一つは「自動化」で、手作業で起こりかねない不正や誤りを防ぐ。もう一つは「可視化」で、リスクの発生に気づくために、社内に散在するデータを収集・分析することを指す。
IT業務処理統制の支援をうたっているソフトの分野として、ERPパッケージ(統合業務パッケージ)、ワークフロー管理、BI(ビジネス・インテリジェンス)や、BPM(ビジネス・プロセス・マネジメント)がある。まったくの新製品というより、元々備えていた自動化や可視化の機能を、ソフトベンダーが SOX法対応の名の下に強化している場合が多い。
IT全般統制のためのソフトは、ウイルス対策やID管理といったセキュリティを強化するソフトから、開発支援、運用管理まで幅広い。これらの多くも既存ソフトだが、情報システム部門の業務プロセスやプロジェクト状況を可視化し、管理しやすくすることを狙った、「ITガバナンス」という比較的新しい分野のソフトも登場している。
企業が実際に、SOX法対応をする場合は、以上のソフトを組み合わせることになる。「SOX法対策プロジェクト支援ソフト」が全体のマネジメントを、「IT業務処理統制/IT全般統制ソフト」が個々の業務プロセスにおける内部統制の実行を、それぞれ担うことになる。
今ある製品は「米SOX法対応」
 図2 ソフト・ベンダーが「SOX法対応」をうたう理由 [画像のクリックで拡大表示] |
今回、取り上げる「SOX法対応ソフト」は、米国のSOX法を想定して機能を用意している。ソフトベンダー各社は、米SOX法に関連する内部統制のフレームワークや監査基準に合う機能を備えた製品を新規に開発したり、既存製品の強化を図っている。
一方、通称「日本版SOX法」は詳細な内容が明らかになっていない(本誌4月3日号のニュースレポートおよび3月6日号の特集を参照)。とはいえ、正しい財務報告が行われていることを担保するため、企業に内部統制の確立を求めるという狙いは、日米のSOX法で共通であるし、日本版SOX法は米国と同様のフレームワークを使うことになる(図2)。日本企業のシステム担当者は、米SOX法対応ソフトの機能を把握しておく必要があるだろう。
(次回へ)
