「実施基準を待って対応すべき」、「億単位の費用がかかる」、「コンサル不足はすでに深刻」――。日本版SOX法を巡り、業界内が狂想曲の状態にあるなか、システム部門やIT業界の担当者の間に数々の「通説」が存在している。それらの実際を見ていこう。
|
「A4判で200ページ以上もある」、「作成に時間がかかっている」、「ITに関する部分を含め、日本版SOX法に対応する際にやるべき内容が具体的に説明されるようだ」――。日本版SOX法対象企業のシステム部門やITベンダーの間でいま、必ずと言っていいほど話題に上るのが「実施基準」だ。これは、日本版SOX法対応で必要になる内部統制報告書を作成・評価・監査する際の指針となる「基準案」の内容を、より詳細に説明した文書を指す。
「実施基準が出てから、本格的な日本版SOX法対応を、開始する」。このような態度をとるユーザー企業のシステム部門は少なくない。自動車部品製造のミクニで情報システムセンター長を務める神山秀一 執行役員は、「早めに対応しなければならないとプレッシャーは感じている。だが実施基準が出ないと、何をどこまで手がけるべきかが分からない」と話す(図1)。
 |
| 図1●ユーザー企業が実施基準で明らかにしてほしいと望む疑問の例 |
これだけ実施基準が注目を集めているのは、「日本版SOX法対応策がより具体的になる」との期待が高まっているにもかかわらず、登場が大方の予想よりも遅れているからだ。
金融庁の内部統制部会は、昨年11月に実施基準の作成を決定。同部会内に作業部会を置き、作業を進めている。当初は「今年3月にも公開される」などとみられていたが、8月下旬の時点でまだ発表されていない。現時点では、「早くて10月に草案を公開。その後、パブリック・コメントを反映させ、年内または2007年初頭に正式に公表する」という説が有力だ。
現在の実施基準は“第2版”
では実施基準は、待つに値するものなのか。その答えは正式版の登場を待つしかない。内部統制部会のある関係者は、「実施基準に、具体例や明確な判断基準を期待しすぎるのは禁物。公表を待たずに、企業は対策を始めるべき」と話す。
関係者の話を総合すると、実施基準には「こうすればIT全般統制が確立されているとみなせる」、「IT業務処理統制を確立するための要件」など、詳細な内容は盛り込まれない公算が大きい。
どんな内容かといえば、例えば「IT全般統制」や「IT業務処理統制」といった用語を使って、内部統制を整備する際のITの位置づけを明確にするという。基準案には、これらの用語に関する説明はない。また、「アクセス管理」や「情報セキュリティ」などに関する記述も含まれるようだ。
現状作成中の実施基準は、事実上“第2版”に当たる。今年3月に作成された第1版は、「多くの書き手が分担して作成したため、内容のレベルが統一されていない」、「企業の要望に必ずしもそぐわない内容だった」などの理由で作り直しが決まった。
いま作成されている実施基準はA4判で100ページ程度になる見込み。基準案と同様、(1)内部統制の整備担当者向けに基本方針を示す「枠組み」、(2)経営者向けに内部統制の有効性評価に関する手順を示す「評価」、!)監査人向けに同様の手順を示す「監査」の3部構成をとる。枠組み編は25~30ページ前後で、うちIT関連に5ページ前後を充てるという。
さらに、基準案が内部統制の基本的要素の一つとして「ITへの対応」を挙げ、それによって「IT業界が過度に期待をかけている」(関係者)ことから「『必ずしも内部統制の整備にはITを利用しなくてもよい』という趣旨の文言を入れる方向で検討している」(同)。
(次回へ)
