先にも述べましたが、2009年3月期の決算から施行が予定されている日本版SOX法に対して、企業では2008年の4月から対応する必要があり、そのための準備期間は2年しか残されていないことになります。まず、もう時間があまりないという事をご認識いただき、その上でどのように対応していけばよいかについて説明します。

IT投資のみならず、SOX法、内部統制への対応にはコストがかかります。日本では上場企業会社全てが同法の対象となり、総額7000億円（※）とされています。このように聞くと、企業の大半は現実的には「やりたくないな」と思われるでしょう。もちろん、対応したからといって、業務成績の向上に直接結びつくわけでもありません。

しかし視点を変えてみると、内部監査への対応は、企業の「業務効率化」「法令遵守」「財務信頼性」における「確からしさ」を向上させることになります。企業を本来のあるべき姿に戻す大きなきっかけとなるのです。業務にしても株主総会にしても、スムーズな流れになると思います。これは、個人情報保護法への対応と同じで、企業にとっての制約は増えますが、対応自体が企業利益のためでもあるのです。

• ※ 出典：「日本版SOX法にともなう国内IT投資規模予測」(IDC Japan)より算出

私が講演したセミナーで感じたことですが、受講者の日本版SOX法への認知度はまだまだ低いと思います。受講者には部門担当者が多く、経営者は非常に少ないです。同法への対応にはさまざまなコストがかかりますので、対応には企業のトップの意思決定が必要となります。まずは、経営者自身が情報を収集し、日本版SOX法は何かを理解することが大切です。

その上で、専門チームを編成します。対応には多くの工数がかかりますので、掛け持ちではなく組織横断的な機能もできる専門部隊を編成して取り組むことが大切です。監査役とのやりとりも発生しますので、取締役など、経営層の方がトップに立ち、トップダウン式に進めていくべきでしょう。チームを編成して行うべきことは、まずは文書、マニュアルの作成です。前編で「SOX法は経営者自らが自社を評価する」と説明しましたが、主観だけの評価では信憑性がありません。企業にとって正しいこと、つまりあらゆる業務、手順、判断、承認手順をマニュアルや手順書などの文書化を行い、その文書に対しての現状の業務の適合性を評価する必要があります。このため、チームのメンバーには、企業の各部門で業務を把握しているスタッフを選出しなくてはなりません。

専門チームのリーダーには、米国のSOX法対応や内部統制、情報セキュリティマネジメントシステム（ISMS）適合性評価制度やプライバシーマーク制度への対応経験があるスタッフが適任です。もしくは、こうした経験のあるスタッフを招いたり、コンサルティング会社と契約したり、専門家をメンバーに加えることなども検討すべきです。

日本版SOX法への対応や対策について、監査法人やコンサルティング会社にアウトソーシングする場合でも、その対応フローは把握しておく必要があります。文書化にあたって、参考にできるものには、いくつか考えられます。

まずは、監査法人などが模範となるテンプレートを出してくるでしょうから、それをベースにするのも一つの方法です。または、書籍を参考にするという方法もあります。現在、既にいくつかの日本版SOX法に関する書籍が発売されていますが、これらの多くは、SOX法のベースとなるCOSOフレームワークを記述したトレッドウェイ委員会組織委員会の書籍をベースとしています。日本語訳も出版されており、『内部統制の統合的枠組み〔理論篇〕』と『内部統制の統合的枠組み〔ツール篇〕』の2部構成で発売されていますので、これを参考にしてもよいでしょう。

内部統制の評価と手順

文書化を行う際には、ITに限らず、自社のリスク分析をすることが大切です。それぞれの業務プロセスに対して、「確からしさ」が無い要因はどこにあるのかを洗い出します。そしてこれらをマトリックス表にして優先順位を付け、順番に対応していきます。このため、ITが何番目になるかは企業によっても異なります。しかし、ウイルスチェックなど最低限のセキュリティ対策が行われていない場合は、そうした箇所から対応していくべきでしょう。

新規にITシステムを導入するのであれば、構築ベンダーにセキュリティの遵守を依頼すれば済みますが、既存のシステムで対応する場合には、そのシステムの「確からしさ」をあらためて検証する必要があります。具体的には、システムの再検証や、設計書を用意するなどの作業が必要になります。

分析の結果、現状のITシステムを日本版SOX法に対応させる必要が出てきた場合、これまで計画していた業務拡大のためのIT投資を数年後に延期するなどをして、資金を捻出する必要が出てきます。これは大きな問題です。しかし、システムを変えるということは業務効率を上げること以外に、企業のリスクを軽減させることにもなります。法律への対応で本来の業務が滞るとは考えずに、対応していただきたいですね。

情報セキュリティには、「機密性」「完全性」「可用性」の3原則があります。日本版SOX法への対応は、企業だけでなく、企業が利用する情報通信事業者にとっても、この原則をきちんと押さえることがポイントになってくるでしょう。

社内ネットワークの中では、IDやパスワードの管理などについて、その会社の努力でセキュリティを高めることが可能ですが、公衆網であるインターネットのセキュリティ、「確からしさ」を証明することは、企業自体では行えません。今後、情報通信事業者にとっては、こうしたセキュリティレベルを企業ユーザーに保証し、安心して使えるようにする必要があるでしょう。また、無線LANに関しても、基本的なセキュリティ認証はあるものの、それを信じてよいのか？ということも問題になってくると思います。

しかし、あまりにも機密性に特化してしまうと、可用性が犠牲となってしまいます。企業の内部であれ、外出先であれ、使いたい時にサーバーに接続できないという環境では意味がありません。機密性と可用性のバランスを考えて、企業ユーザーが望むスタイルをどこまで提供できるかというのが、情報通信事業者が果たすべき大きな役割だと思います。

日本版SOX法は、まだ国会で審議中です。施行され、法律的に求められている内容でも、技術的な面や、人的、予算的な面で現在のシステムでは対応できないこともあるかもしれません。しかし、一番大切なのはそれに目を背けることではなく、正しく把握し、数年単位で中長期的に対策を実施していくことです。現実問題としては、今すぐはじめて、1年後、２年後に完璧なシステムを作り上げるということは難しいでしょう。最初から完璧な状態を作り上げなければならないと考えるのではなく、1年ごとに階段を上がっていくストーリーを描けるかどうかが、今後企業が評価されるポイントになっていくと思います。

日本版SOX法への対応に残された時間はわずかであり、まずは企業の経営者が認知し、行動することが求められます。重要なのは、同法への対応は単なる法律の遵守ではなく、企業にとってもプラスとなるような対応をとることでしょう。

(2006年4月4日掲載)

• ※ 掲載日以降、最新情報ではない場合があります。あらかじめご了承ください。