[事務所TOP] [コラム一覧へ]

ポイント:日本版SOX法、SOX法、内部統制、ITIL、システム運用、COSO、COBIT、SOA

SOX法とITILの融合って?


日本版SOX法は関連範囲が広い

 日本版SOX法が話題になっている。2006年のITの代表的なキーワードは日本版SOX法とSOA(サービス指向アーキテクチャ)だろうと誰かが予測していた。日本版SOX法は仕事として入ってきているため、調査のスピードアップをしている。それで今回の話題も日本版SOX法である。SOAも調査をしている。それは日本版SOX法とSOAは当然関わりを持っているからである。

 日本版SOX法はSOAに限らず、実に多くのITキーワードと関わりを持っている。事業の最終的な結果である財務諸表の信頼を高める事がSOX法の最終的な目的であるため、当然の事だがIT以外のキーワードとも深く関わりをもっている。私のブログにも以前書いたが、ざっと関連しそうなキーワードをあげてみると、BPR、BPM、ERP、e-文書、文書管理システム、セキュリティ、システム監査、COSOフレームワーク、COBIT、ERM、SOA、新会社法、ITガバナンス・・・等などがあげられる。かなりITに偏っているキーワードであるが、私はITが専門なので情報発信レベルでは会計や法律に関するキーワードはそれぞれの専門家に任せたい。

 ITの活用によって最も期待されているのは「会社の透明性の実現」である。それはシステムの設計、開発時から運用時までシステムのライフサイクル全てに「透明性を実現しようとする」思想が反映されて、会社の透明性の実現は達成されると思う。

 設計、開発は重要であるが、特に重要なのが運用である。いかにシステムが堅牢に作られていても、運用の意識、操作によって、とたんにシステムが信用を失う例が昨年は特に多かった気がする。企業や自治体向けの危機管理のISOが作られるというニュースも入ってきている。

 日経ソリューションビジネスの'05/12/15号では、せっかく実を結び始めたITILに、日本版SOX法という新たなキーワードが降りかかってきたことに危惧している。ITILとは、システムの運用プロセスを可視化、標準化し、サービスレベルを明確化するためのものである。同誌では、日本版SOX法とITILは水と油ではないので「融合」して提案すべきだ、と言っている。私も同感である。

 では「融合」して提案すべきとはどういうことかを考えてみたい。

ITILと日本版SOX法でのシステム運用の考え方

 ITILとは簡単に言うと「運用プロセスの可視化」「運用プロセスの標準化」「サービスレベルの保証」を実現しようという運用サービスの変革である。一方の日本版SOX法は「内部統制を前提にした高品質な運用サービス」の実現である。ITILと日本版SOX法での最大の違いは何だろう? ITILは「ほぼ無法地帯であるシステム運用を改善して品質向上、コストダウンを目指す」という経営課題への対応策である。一方の日本版SOX法はすべての上場企業が適応対象となる罰則を伴う法律である。

 単純に考えて、人はどちらを優先事項と考えるであろうか? 言うまでもなく規制のある法律のほうである。それは、昨年の個人情報保護法施行にあわせて、Pマーク取得ラッシュがあったことからも分かる。ただ、この時にただ単に個人情報保護法に対応するために社内体制を整えた企業以外に、顧客情報の有効活用を視野に入れて個人情報保護法への対応を行った企業があるとの話も伝わってきた。

 今回の日本版SOX法も同じように考えるべきなのではないだろうか?

内部統制を実現を支援するIT

 日本版SOX法では内部統制を実現する考え方として「全般統制」「業務処理統制」という考え方を提示していた。'05年の11月に発表された修正案はこの言葉自体は削除されたが、考え方は踏襲されている。内部統制を理解するうえでITの位置づけがわかり易いので、日経ソリューションビジネスの'05/12/15号の記事を参考にしつつ説明したい。

 まず、「業務処理統制」は業務アプリケーションの業務ロジックによる統制を示している。つまり受発注、回収、また生産実績収集、在庫管理などの財務データにかかわるプロセスの処理が正確に処理され、記録されることをアプリケーションの機能によって確保することである。

 もうひとつの「全般統制」はシステムの構築、運用、変更が正しく行われ、ハードやソフトなど各業務を動かすITインフラが有効に機能しているかが求められる。つまりインフラ部分の「全般統制」の上に各業務の「業務処理統制」がのっかり、全体として「内部統制」の実現が行われるとの考え方である。

 私のコラム「ERPソフトとは」で少し触れたが各業務の「業務処理統制」は各業務アプリケーションの機能になる。ERPソフトに限らず、「業務処理統制」を実現する思想でシステム構築、変更を行うべきであろう。

 そして今回テーマにしているシステム運用プロセスでは、やはりITILに照らし合わせるのがよい。日経ソリューションビジネス'05/12/15号のステップによると・・・

@日本版SOX法(米SOX法も)は、内部統制のフレームワーク「COSO」に準拠している。
ACOSOの構成要素はITガバナンスのフレームワーク「COBIT」と対応付けられている。
BCOBITが定めた管理目標を現場の運用に落とし込むときにITILに照らし合わせる。

このような、段階的思考を提示してもらえると、日本版SOX法とITILの「融合」のヒントが見えてくる。

参考 日経ソリューションビジネス'05/12/15号  

関連コラム
ヒトの性質で見た内部統制の限界とは 2006年10月23日記述
日本版SOX法が中小企業へ与える影響は? 2006年10月16日記述
日本版SOX法(金融商品取引法)の本質って? 2006年10月09日記述
「J-SOX実施基準の見通し」について思うこと 2006年08月28日記述
金融商品取引法の理解の第一歩 2006年07月24日記述
日本版SOX法(金融商品取引法)の動向で思うこと 2006年07月03日記述
ソフトウェア取引の新会計ルールの公開 2006年06月05日記述
ドキュメント管理への取組み−電子文書の役割 2006年04月24日記述
日本版SOX法に関するソリューション提供 2006年04月17日記述
内部統制の強化は「金融商品取引法案」に 2006年03月27日記述
金融庁「内部統制の監査基準」の要約 2006年03月06日記述
日本版SOX法と関連ITキーワード 2006年02月20日記述
日本版SOX法とSOAの関係 2006年02月13日記述
日本版企業改革法(J-SOX法、日本版SOX法)の情報整理 2006年02月06日記述
SOX法とITILの融合って? 2006年01月23日記述
ERPソフトとは 2006年01月02日記述
SOX法の基礎知識 2005年12月12日記述
IT業界にはびこる一式契約の見直し 2005年11月07日記述
内部統制の強化の促進−日本版SOX法− 2005年9月26日記述

2006年01月23日 宿澤直正


[事務所TOP] [コラム一覧へ]

Copyright (C) 2005 宿澤経営情報事務所