内部統制(日本版SOX法)に揺れたERP業界
2006年のIT業界のセミナーで一番多かったテーマが、内部統制に関するものであったと思われる。今年は毎週のように内部統制関連のセミナーが開かれていた。
ERP研究推進フォーラムでは、毎年実施している企業アプリケーション導入実態調査(大規模アンケート調査)で、日本版SOX法に対するユーザ企業の取り組み状況と、ERPでの対応について質問項目を新設して、その実態を聞いてみた。
企業の抱える経営課題としても、日本版SOX法への対応が7番目にランクインされている。アンケートを実施したのは今年の2月であり、現在はさらに高いところに位置付けられると思われる。
回答した企業482社の中では、約2割の企業が積極的対応、約3割が重点部門からスタート、約4割弱が情報収集レベルで、関心なしが1割となった(表1)。
| 連結子会社を含めて本格的に対応すると答えた企業 | 18.5% | 積極派 |
| 重点部門からスタートして段階的に対応すると回答した企業 | 31.5% | 重点部分優先派 |
| 将来に備えて情報収集を行っていくと答えた企業 | 35.9% | 情報収集レベル派 |
| 関心なしと回答した企業 | 10.6% | 関心なし派 |
| その他 | 3.9% | その他 |
表1:日本版SOX法への対応状況
アンケートを実施したのは2006年2月で、その2ヶ月前の昨年12月に、金融庁の「企業会計審議会内部統制部会」から「財務報告に係る内部統制の評価及び監査の基準案」が出されたばかりであった。
内部統制に関する詳細が決まっていない時点で、企業の取り組み状況を聞いたわけであるが、積極派と重点部門優先派を合計すると5割の企業が前向きに対応すると表明しており、全般的に見ればその対応はかなり積極的といえよう。
日本版SOX法はITシステムを見直すチャンス
今回の内部統制に関して、大手企業では国内外の全ITシステムを内部統制の視点で見直す千載一遇のチャンスとして捉えているところが多い。ある大手 電気メーカーでは、本社部門はもとより、国内/海外にある数百の子会社の情報システムを、内部統制の視点で見直しをする絶好の機会と捉えて、特別プロジェ クトを立ち上げ実際の作業を開始している。
またあるメーカー系の情報子会社では、今回の日本版SOX法対応する以前から、IT全般統制の視点で業務の流れを文書化し、潜在リスクの顕在化など の作業を行っていた企業も存在する。その会社では特に日本版SOX法のために、急いで対応策を考えるのではなく、それまでの作業を内部統制の視点で再検討 をして、対応に万全を期しているという。
一方、中堅の企業の経営者には、内部統制対応をしてどのような投資効果が見込めるかという課題を、情報部門に問うているケースもあり、法をクリアする最低限の対応で済ませようとしている企業も存在することも事実である。
米国では、SOX法対応に多くの費用がかかり経営状況を圧迫しているとして、緩和策などがとられようとする動きもある。
しかし今回の日本版SOX法の施行を機会に、今まで手をつけられなかった業務全般について、内部統制の観点でリスクの洗い出しをすることは意味のあるところと考える。
現在企業が使用しているITシステムにおいては、基本的な部分でもセキュリティホールが存在する。例えば、大手企業が現在でも多く使用しているレガ シーシステムでは、ユーザのアクセス管理の面において、「個人ID」ではなく「グループID」で管理しているケースがある。これでは作業を行った個人を特 定することができないため、セキュリティ上に問題がある。
内部統制にはERPで対応せよ
ERP研究推進フォーラムでは、ERPパッケージが内部統制に対して有効な情報システムであると考えている。図1に内部統制対応とERPの関係を聞いたアンケート結果を示す。
図1:内部統制とERPの位置づけ
出典:ERP研究推進フォーラム
図1を見れば明らかなようにERPの内部統制モジュールを基盤として活用する企業が約11%、ERPと内部統制に関連するERPアドイン機能を組み 合わせて対応すると答えた企業が約16%、ERP以外のシステムとERPのアドイン機能を組み合わせて対応すると答えた企業が15%となっている。合計す るとERPをベースに対応する企業が42%を占めた。またERPを導入している企業群では、約65%がERPを基盤として内部統制対応を考えていると回答 している。
今年9月に、ERPフォーラムが行った内部統制に関するセミナーでは、米国SOX法に対応した企業の方からは「ERPによって対応が極めてスムーズ にできた」との発表があり、ERPフォーラムとしてERPが内部統制に有効であるという確証を得ることができたと考えている。
11月21日に、「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」が発表されて、パブリックコメントを募集している。締め切りは12月20日である。2007年にはパブリックコメントを受けて、最終的に実施基準がまとめられることになる。
2007年度はこの実施基準に基づいて実際の対応策が示されていくものと思われる。ERPフォーラムでは、継続的に内部統制とERPの役割について調査・研究を行い、情報を発信していく予定である。
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
