- 2008/10/28 掲載
「SOX対応、3割から4割が未着手」今から始めるコンプライアンスのためのIT統制:
青山システムコンサルティング 代表取締役 谷垣康弘氏
記事をお気に入りリストに登録することができます。
2009年3月期の決算からいよいよ、日本版SOX法への対応が求められる。それぞれの企業にはコンプライアンス確保のためのルール作りや、運用を示すドキュメント作り、そしてそれらを客観的に示す監査証跡の公開などが求められる。しかし、連結決算で監査対象となる中小企業を中心に、対応の遅れが目立っている。今、積極的に取り組んでいくためにどのような視点を持つべきか、SOX法対策を数多く手がける青山システムコンサルティング 代表取締役 エグゼクティブディレクター 谷垣 康弘氏にお話を伺った。
努力の積み重ねを証明するドキュメント作りが目前の課題
|
日本版SOX法への対応について現状を伺ったところ、谷垣氏はそう語り始めた。本場米国ではSOX法への厳しい対策に追われ、疲弊した企業が多く見られたが、日本ではそこまでの厳しさは感じないという。制度自体も、まずは企業の取り組みを正しく把握し、ドキュメントとして公開することを第一としている。そこで見つかった不備については改善計画を示し、順次改善が進んでいることが示されればいいとされている。しかし、ドキュメント作成さえ進んでいない企業がまだまだあるのが実情だ。日本版SOX法への対応は、やらなければならないことが漠然としているうえに、そのメリットが実感として感じられないというのが、対策が進まない原因ではないかと谷垣氏は見ている。
そもそもSOX法対策とは、これまでまったくやっていなかったことに一から取り組むということではないのだという。
「これまでにも、正確に業務を進めるために業務システムの改善などに取り組んできたはずです。SOX法では、そうした取り組みを証明する手だてが求められているだけです」
実際、日本版SOX法対応のためにシステムを入れ替えたり大掛かりな改修を行う企業は多くないそうだ。ほとんどの企業ではまだまだルール作り、ドキュメント作りに追われている。
ドキュメント作りで理想を追い求めると、現実には運用が難しいルールになってしまうことがある。それでは現場が回らない。そういう事態に陥ってしまう原因のひとつは、監査法人の厳しい対応にあると、谷垣氏は指摘する。監査内容に不備があった場合、監査法人は厳しく責任を問われる立場にある。そうした事態を避けるため、監査対象となる企業に厳しい指示を行う傾向にあるという。
監査法人の支援を受けてルールやドキュメントを整備する際に気をつけなければならないのは、指示通りに作成したルールが現場での運用とかけ離れてしまう危険性があるということだ。
「監査法人が、それぞれに最適と思われるドキュメントのフォーマットやチェック手法を強く推薦することがあります。言われるままに取り入れると、日々の運用に高い負荷が生じる危険もあります」
そのような場合、同様のことを証明できる既存のドキュメントで代用したり、現場での運用負荷が低い代替手段を講じることで、SOX法対応の負荷を軽減できる。とはいえ、専門家以外にはその判断や調整は難しい。そのため、コンサルタントの活用も有効な手段になる。
SOX法への対策は業務効率化のチャンス
SOX法への対策が進まない企業では、対策を行うことによるビジネスへのメリットを見出せていないことが多いと、谷垣氏は語る。
「法や制度に対応するための取り組みは、必要だから行うものであり、コストがかかる一方でメリットはないと考えている経営者さんが多いものです。しかし、SOX法への対策は上手に取り組めば、業務プロセスを見直す良い機会にもなり得ます」
ルールやドキュメントを整備する上で、自社の業務の現状を確認することになる。そうして見直してみると、部署や拠点による業務運用の違いが見つかることも多い。それらの違いを考慮した上で、ルールやドキュメント作りと並行して、業務プロセスのシンプル化や標準化を進めれば、業務自体の効率性を向上できる。
また、業務プロセスの見直しはITシステムを見直す良いきっかけになる。業務プロセスが標準化されればITシステムも標準化でき、社内に散在するシステムを統合、数や種類を減らせるようになるからだ。
また、SOX法で求められるルール作りやドキュメント作りとITシステムの見直しを並行して行えば、人の運用による統制をITシステムに肩代わりさせることも可能だ。簡単な例を挙げるなら、人の入力やチェックには100%の確実性はない。そのため、入力者とは別の担当者によるチェック体制が必要になる。しかし、単価などマスター化して変更できないようにする等で強制してしまえば、そうしたミスが起きることがなくなる。つまり、チェック体制を省くことができる。この例は当たり前のことだが、それをシステム上の要件として明示することで、第三者のチェック体制が整っていることを明示できるのである。
「SOX法で求められる業務のルールやドキュメント作りをいいきっかけとして、業務を見直すことができれば、対策にかかる費用は将来への投資となるはずです」
ID管理から始め、ログ管理、バックアップへ
業務プロセスやITシステムの効率化を視野に入れた対策を講じることで、SOX法対策をより有意義なものにできると谷垣氏は語るが、時間的な余裕は多くは残されていない。谷垣氏が「3割から4割ある」と見ている、これから対応する企業にとっては、理想論よりも目の前の現実に対応する手段の方が重要だ。そうした企業で、目の前に迫った監査に間に合うよう、まずはドキュメントの整備を急ピッチで進めることが先決だ。
「必要なドキュメントを整備し、まずは1回目の監査を乗り切らなくてはなりません。その後、将来のビジネス改善を視野に入れた本格的な取り組みに取り掛かるというのが、現実的な対応でしょう」
ただ、単純にドキュメントの整備だけに翻弄されてしまえば、パッチワークの処理に終始してしまう。「アフターJ-SOX」を見据えた際には、IT統制についても最低限始めておきたいことがあるという。
「特にITの観点から最低限求められるのがID・パスワード管理です。そのうえで、リスクマネジメントの観点ではデータバックアップやログ管理などに取り組むのが有効です。もちろん、前提としてセキュリティの確保があります。通信や保存データが暗号化されており、改ざんや漏えいのリスクがないという前提でなければ、監査証跡として成り立ち得ません。」
ここで最もキーとなるのがセキュリティ対策だ。万一の際の証拠となるログや、業務データのバックアップなどが改ざんされては意味をなさないからだ。具体的には厳格に管理されたID・パスワードによるアクセス権制御や、通信やデータ保存時の暗号化などの対策が必要となる。
とは言え、中小規模の企業がいきなりSOX法対策を考えながらITシステムの整備を進めるのは難しい。SOX法対応に監査法人からの指導や支援を受けているように、ITシステムの整備においてはコンサルタントの支援を得ると、スムーズに進むようだ。人員に余裕がなく、ITの専門家を抱えることのできない中小企業にとって、システムコンサルタントはCIOのアウトソースのようなものだと、谷垣氏は語る。
「ポイントは、経営者がIT全般統制やコンプライアンス確保について重要性を理解しているかどうかということです。その重要性を理解したうえで、ITに造詣の深いCIOを社内で任命するか、システムに強いコンサルタントに相談してみてください」
|
なかなか聞けない他社の事例から学ぶ セキュリティ基盤強化実践セミナー開催! |
日本版SOX法に対する内部統制、IT統制への初期対応も一段落し、次の段階として、事業継続を確保するためのリスクマネージメントに取り組む機運が高まっています。特に企業にとって重要な資産である情報が様々なセキュリティ脅威に晒されることによって、引き起こされるビジネスリスクは企業によって異なるため取り組むべき課題も 変わってきます。 | |
 |
関連タグ
あなたの投稿
PR
PR
PR
