日本版SOX法・徹底解析

今こそ見直すべきIT内部統制評価

J-SOX(日本版SOX法)適用初年度にあたり、多くの上場企業が2009年上半期中に内部統制報告書の提出時期を迎える。いわば、がむしゃらに対応してきた初年度対応の最中であるが、一部の上場企業はすでにJ-SOX対応2年目以降に向けて動き出している。

http://journal.mycom.co.jp/articles/2009/05/26/internalcontrol/

2年目以降の大きな柱として上げられるのは、やはり「内部統制評価の効率化」である。内容の理解が困難であった初年度というハンデを差し引いても、相当の血と汗と涙が流されてきたことであろう。

初年度の反省を踏まえ、「IT内部統制のリバランス」と題して、｢重複評価項目の見直し｣「内部統制3目的(とくに業務の有効性と効率性)の再確認」「COBITベースでの共通化」および「ソフトITガバナンス」についてご紹介したい。

まずは重複作業をなくす

私の所属する日立グループにおいても、US-SOX(米国SOX法)適用年度以降、従来からあった情報システム管理規則とその準拠性に関する自己評価制度(IT自己監査)、およびSOX法対応におけるIT全般統制の評価制度など、重複した評価項目を持つ内部統制制度が複数存在していた。このため、各企業では、さまざまな表現ではあるが、同様の項目について各々判断せねばならず、実施の負担感を増していた。

そこで、評価項目の重複をなくし、IT内部統制評価の効率化を図るため、日立グループでは、J-SOX適用初年度からIT全般統制チェックリストの統合を行ってきた。

先述の日立グループの例では、ITガバナンスの国際標準フレームワークであるCOBIT※をベースに統合を行った。SOX法対応のIT全般統制チェックリストも元々、COBIT for SOX(COBITのSOX法対応向けフレームワーク)がベースであり、IT自己監査をCOBITベースに大幅変更することにした。つまり、IT内部統制をCOBITで一本化したことになる。

本来のIT内部統制に戻す - IT内部統制のリバランス

日立グループではこの変更を契機に、SOX法対応から生じた内部統制に関する認識のずれを修正することになった。すなわち、「SOX法対応＝内部統制(およびIT内部統制)」ではないということの再確認である。

ご存知の通り、SOX法対応における内部統制評価とは、「財務報告に係る内部統制」の評価が中心である。COSO(トレッドウェイ委員会支援組織委員会)の内部統制が目指す、

業務の有効性と効率性

財務報告の信頼性

関連法規制の遵守(コンプライアンス)

の3つの目的のうち、2の「財務報告の信頼性」を担保しているに過ぎない。日立グループでもそうであるが、IT内部統制は元来3つの目的すべてを評価対象とすべきである。

どうリバランスさせるか

それでは、どう対応すべきであろうか。日立グループの事例を通じて紹介しよう。

まず、財務報告に係るIT内部統制(IT内部統制 fox SOX)は「100%の統制」を目指し、項目を絞って評価を行うことで、評価作業の効率化を図ると共に、外部監査報酬やコンサルティング報酬などのコンプライアンス外部コストの削減を行った。

次に、業務の有効性と効率性に向けた「(今だからこそ)仕込むべき予算」を、IT内部統制による自己評価を通して確保した。つまり自己評価を、来期予算取りの根拠説明にも有効な手段として機能させるのだ。この目的における自己評価は、来期予算編成の参考となるよう第3四半期での実施を推奨している。

さらに、業務の有効性と効率性を評価するため、SOX法対応と同様のリスクベースによる評価を行う。日本における従来型のコントロールベースによる自己監査は、IT規則への準拠性や内部統制の網羅性評価が中心だ。自己監査計画を作成し、監査(評価)テーマに関するキーリスクやキーコントロール(統制)の絞込みを通して、効率的なリスクベースアプローチによる統制評価を浸透させる。これには、IIA(内部監査人協会)の提供するGAIT(Guide to Assessing the scope of IT general controls) Methodologyが参考になる。

COBIT採用の利点

昨年、IT管理項目の海外グループ会社への浸透を目的として、海外地域会社向け説明会議に同行した。そこで判明したのが、米国や英国など先進欧米諸国においては、COBIT自体を説明する必要がないということだ。

米国ではすでにUS-SOX法対応を通じて、英国ではITILなどの先進的ITマネジメントフレームワークを通じて、COBITの内容を十分に理解しており、その意義や中身について日本から説明する必要はなく、同じ土俵で話ができたのだ。

このように、IT内部統制のグローバル対応を考える場合、COBITなどの国際標準フレームワークを利用した内部統制評価は、先述の通り重複の排除による評価作業の効率化のみならず、ITマネジメントの共通理解という観点から見ても極めて有効であることを再認識した。

ソフトITガバナンスによる浸透

グリーンスパン元FRB議長の言う「100年に一度の津波(信用危機)」に端を発する世界的な大不況は、IT内部統制やITガバナンスのグローバル対応にも大きな影を落としている。従来のように、豊富な資金力と強力な人事権による強権発動によるITガバナンス、すなわちプッシュ型の「ハードITガバナンス」をグローバルに駆使できるだけの体力を持つ企業はなきに等しい。また押し付けられた方も疲弊感が出て、実質的に効果が薄くなってしまう。

この大不況時代にこそ役立つ新しいガバナンス手法として、私は「ソフトITガバナンス」を提唱している。ITガバナンス施策の魅力を高め、グループ会社が積極的に自己評価などの統制活動に参加してくれるような求心力を持つことが、SOX法対応を含めたコンプライアンスコストを大きく削減する効果につながると確信する。

この「ソフトITガバナンス」は、国際政治学者 ジョセフ・ナイ氏が提唱する「ソフトパワー」論をヒントに発案したものだが、次の投稿機会があればぜひご紹介したい。

財務報告に係る新たな内部統制の兆しに備えて

昨今、財務報告の信頼性に関する新たな内部統制として、IFRS(International Financial Reporting Standards: 国際財務報告基準)の動向が注目されている。繰延税金資産や工事進行基準など、すでに日本の会計基準に適用されたものだけでなく、収益認識基準の変更(出荷基準から検収基準へ)や製品販売におけるポイント引当分の繰延収益としての負債計上など、日本の商慣行および情報システムに甚大な影響を及ぼす会計基準変更が進められつつある。

しかし、次から次へとやってくる新たな法規制にがむしゃらに対応し、強権発動で無理やり対応することが今後も可能であろうか? 必要なのは、IT内部統制を広く捉え、各会社にメリットがあるような施策としていくと共に、SOX法や個人情報保護法など既存の法規制との間で、どのように整合性を取っていくのか、また全体でどのように体系的な対応をしていくのか、などを十分に考えることだ。

SOX法対応が一巡した今こそ、体系的に、リバランスを考えるときである。

執筆者紹介

上原一浩 (UEHARA Kazuhiro)

日立コンサルティング マネージャー。米国系企業のITマネージャーとしてIT業務の企画/運用に携わった後、IT戦略/ITサービス企画のコンサルティングを通じて、日立製作所および日立グループのグローバルITガバナンス構築をサポート。ISACA東京支部 調査研究委員、CGEIT、CISA、CIA、PMP。