日本版SOX法・徹底解析

転載者のコメント：この記事は古いです。[2006年11月21日]

http://it.nikkei.co.jp/business/column/aruga_gyokai.aspx?n=MMIT0z000021112006

　きちんとした弁護士資格や会計士資格を持っている人たちが、ＩＴベンダーが主催するセミナーでありもしない法律について議論を繰り広げている。素人がやるならまだしも専門家として恥ずかしくないのだろうか。実際には金融商品取引法と会社法にかかわるコンプライアンス対応の話だ。セミナーで議論している人たちの間では、「Ｊ－ＳＯＸ法」対応と呼ばれている。Ｊ－ＳＯＸ法などと言う勝手な法律を作ってもらっては困る。これについては以前に業界誌の紙面で指摘したが、一向に見直す気配がないようだ。

　日本におけるコンプライアンス強化についてあれこれ論じているが、まずは法律名ぐらい正しく扱うのが、コンプライアンス議論の基本だろう。米国の法律名に「Ｊ－」をくっつけて、いかにももっともらしく述べる。正しいことを言っていても、これでは胡散臭く感じられる。

　そのコンプライアンス強化の施策について議論する金融庁の企業会計審議会内部統制部会が20日の会合で、待望の「財務報告に係る内部統制の評価及び監査の実施基準案」を公開することを了承した。この実施基準案は約１年前、2005年12月8日に公表された「基準案」を補完するためのものであり、実際に内部統制報告書を作成する場合、より詳細なガイドラインが必要だという声が多かったため作成された。

　「待望」と述べたのは、先の基準案が昨年公表されて以来、コンサルティング会社やＩＴベンダーが大騒ぎとも言える反応をみせてきたからだ。前述のような内部統制のＩＴ対応に関するセミナーが次々と開催されて法律家や会計士が議論を交わし、どう見ても直接関係ないようなベンダーまでが自社製品を導入すると内部統制に対応可能だといった宣伝を繰り返してきた。

内部統制のセミナーが盛んに開催されている。９月にＩＴ企業が実施したセミナーの様子

　セミナーは色々と開催されてはいるものの、具体的に「このようなシステム構成にし、このようなデータ項目を蓄積し、このように運営しなさい」という明快なベンダー提案は少ない。この実施基準案が出るのを待っていたのだという話もある。

　ただし、少なくとも私が見る限り、この基準案が出たからと言って、そのような具体的な提案ができるとは思えない。昨年末の基準案では１ページ程度しかなかったＩＴ対応に関する記述が、６ページにまで拡大され詳細化されたが、どんなシステムを作りなさいといった具体策が記述されているわけではない。

　ベンダーは自ら考え、自社の提案を具体的に作成していくしかない。その点ではただあちらこちらでおかしなセミナーを開催するのではなく、いよいよ本格的な提案力が試される競争が始まると考えてよい。

　実施基準案の内容に次のような記述がある。

-----------------------
a.ＩＴに係る全般統制

　ＩＴに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。ＩＴに係る全般統制の具体例としては、以下のような項目が挙げられる。

・ ＩＴの開発、保守に係る管理
・ システムの運用・管理
・ 内外からのアクセス管理などシステムの安全性の確保
・外部委託に関する契約の管理

　システムの変更の段階で必要な統制が組み込まれなかったり、プログラムに不正な改ざんや不正なアクセスが行われるなど、全般統制が有効に機能しない場合には、適切な内部統制（業務処理統制）を組み込んだとしても、その有効性が保証されなくなる可能性がある。

　こうした問題に対応していくためには、例えば、

（１）システムの開発又は変更に際して、当該システムの開発又は変更が既存のシステムと整合性を保っていることを十分に検討するとともに、開発・変更の過程等の記録を適切に保存する
（２）プログラムの不正な使用、改ざん等を防止するために、システムへのアクセス管理に関して適切な対策を講じる

など、全般的な統制活動を適切に整備することが重要となる。
-----------------------

　また、続いて次のような内容もある。

-----------------------
b.ＩＴに係る業務処理統制

　ＩＴに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれた統制活動である。

ＩＴに係る業務処理統制の具体例としては、以下のような項目が挙げられる。

・ 入力情報の完全性、正確性、正当性等を確保する統制

・ 例外処理（エラー）の修正と再処理

・ マスターデータの維持管理

・ システムの利用に関する認証、操作範囲の限定などアクセスの管理

　これらの業務処理統制は、手作業により実施することも可能であるが、システムに組み込むことにより、より効率的かつ正確な処理が可能となる。
-----------------------

　この内容を見ていくつか気になる点を挙げてみよう。一つは、「a」で「プログラムに不正な改ざんや不正なアクセスが行われるなど」とあるが、一時流行したＥＵＣ（エンドユーザーコンピューティング）はどうなのだろうか。

　ＥＵＣではユーザー自らが業務遂行用のソフトを記述し変更する。代表的なものはエクセルの処理を自動化するマクロ記述であるが、ユーザー自身による変更の容易性が売り物であり、不正な意図で変えるわけではないだろうが、果たして「開発・変更の過程等の記録（誰が、いつ、何のために、どのように）を適切に保存する」ことを確実に実行することが可能なのだろうか。コミュニティーの参加者が次々とプログラムを書き換えていくＯＳＳ（オープンソースソフト）を使う場合も同様のことが言えよう。

　「b」では、「例外処理（エラー）の修正と再処理」を統制しなさいとある。開発現場では、大元のマスターファイルを「強制修正」できるツールを持っているのが普通だ。何らかの理由で、マスターファイルに不具合が発生したとき、強制的に修正できると便利だからだ。ただし、今後はマスターデータの維持管理という観点から基本的に利用禁止になるだろう。

　もしどうしても使いたいときには、内部監査人の同意などを得て、記録を残しながら修正するということが求められよう。同様なことは、統制用に蓄積するデータのタイムスタンプ、過去の蓄積データに対する修正などについても発生する。

　以上のように、ちょっと考えただけでもすぐに多数の懸念事項が浮かぶ。企業のシステムによってもだいぶ事情は異なってくる。

　企業会計審議会の内部統制部会部会長を務める青山学院大学の八田進二教授も講演などで「内部統制の整備に取りかかる際に、コンサルティング会社やＩＴベンダーに頼ろうとする経営者がいる。だが最初から社外に頼るのは、内部統制に対する理解が間違っているのを証明するようなもの」と指摘している。これまでの常識をいったんクリアして、「正しい処理をして、正しいデータを残す」ために本当にどうすればよいか、ＩＴベンダーに頼らず経営者自らがまず考えなければならないだろう。

[2006年11月21日]

-筆者紹介-

有賀　貞一(あるが　ていいち)

ＣＳＫホールディングス取締役
略歴

　1970年一橋大経卒、野村電子計算センター入社。90年野村総合研究所取締役、94年常務。流通、製造、金融、公共などのＩＴサービス事業に従事。海外におけるシステム開発やコンピューターセンター構築等も経験。97年ＣＳＫ専務取締役金融システム事業本部長。00年に代表取締役副社長、05年より現職。情報サービス産業協会（ＪＩＳＡ）副会長