特集 日本版 SOX 法

企業価値を高める究極の IT 基盤整備

淀川高喜氏

淀川高喜

野村総合研究所 システムコンサルティング事業本部 プロセス・IT マネジメント研究室長 兼 金融 IT マネジメントコンサルティング部長

よどがわ・こうき
1979 年野村総合研究所に入社。IT マネジメントコンサルティング部長などを経て 2005 年より現職。専門は情報技術による企業革新コンサルテーション、IT マネジメント革新コンサルテーション。国際 CIO 学会会員。

失われた 10 年が過ぎ、システム再構築の好機到来

では、個別最適型の場合、とりあえず日本版 SOX 法対応を果たすにはどうすればよいのか。個別最適型からいきなりプロセス・データ統合型に替えるのは無謀である。

すると、暫定策として個別の業務システムは個別最適型のままにしておき、それとは別にドキュメントを流すワークフローのようなシステムを 2 段構造で作るしかない。

そして社内で発生する財務データの元になる証票は必ずそのシステムに入れるなり、伝票は必ずそこを通すといった対応で切り抜けるしかない。

いわば幹線道路を新たに造って、個別最適の各業務システムを幹線道路につなぐのである。もちろんこれは、非常に効率の悪い方法であり、暫定策の域を出ない。

先ほどのアンケートによれば、2010 年までにどの段階に持っていきたいか (現状維持を含む) という質問に対して、プロセス・データ統合型が 6 割を占めた。あくまで各社の希望にすぎないが、明るい兆しである。

ここ 10 年間、日本企業は情報システム投資を極端に抑えてきたが、2 年ほど前から設備投資の復調に伴って、IT 投資もかなり積極姿勢に転じている。これまで棚上げされていた基幹業務システムの修正や再構築が一気に進みつつある。したがって、全面的なシステムの再構築に踏み切る絶好の投資タイミングなのである。

また、システムの作り手の世代交代も明るい材料の一つだ。これまで個別最適型の基幹業務システムを支えてきた中核エンジニアがそろそろリタイアの時期を迎える。

人材が大量にいなくなるという点は、いわゆる 2007 年問題の一つとして慎重な対応が求められるが、その一方で新しい発想のエンジニアへ世代交代が一気に進むタイミングでもある。システムの常識もまた大きく変わる可能性がある。この結果、システムの大刷新が起こりやすい状況にあるのだ。

しかし、各社がそのような方向に動いているということは、当然、人材不足が起こる。一般に次期システム開発プロジェクトは 10 年、20 年に 1 度の非常に大規模なプロジェクトになる。

この手のプロジェクトはきわめて労働集約的な仕事であり、人の投入が欠かせない。社内のリソースだけでは足りないため、優秀な専門業者を囲い込む動きも活発化しているのだ。特に金融は人材の逼迫といってもいい状況にある。

ページのトップへページのトップへ

IT 基盤整備に求められる ERM の視点

ここで提言したいのは、IT 環境刷新の絶好のタイミングにあるのだから、単なる日本版 SOX 法対応、つまり財務データの健全性確保にとどまらない大きな視野で臨むほうが、企業価値の面でも意味があるということだ。

そもそも米国 SOX 法のベースになっている COSO の内部統制フレームワークは、財務データの健全性だけにフォーカスしたものではない。広い意味での会社全体のリスクマネジメントの枠組みなのである。

特に、内容を見直した COSO2 という直近バージョンでは、ERM という会社全体のリスクマネジメントの枠組みに発展している。

ここで言うリスクマネジメントとは、不確実性への対応という意味である。リスクというと、危険なことを思い浮かべるかもしれないが、実はプラスの意味 (新市場の開拓など) でもマイナスの意味でも不確実なことを指している。企業が直面している不確実性への対応が、エンタープライズリスクマネジメントなのである。悪いことが起こらないようにしっかりとしたガードを確立するだけでなく、逆にさまざまな機会 (ビジネスチャンス) に乗り遅れないように対処してビジネスにつなげていくことも、ERM の柱となる。

つまり、悪い意味のリスクも、良い意味のビジネスチャンスも、不確実性という言葉でくくることができる。ビジネス環境の不確実性に対して、自社のビジネスを適応させていくことは、どの企業にも求められる。

せっかく日本版 SOX 法対応をきっかけに IT 基盤を整備するのであれば、そのような不確実性への対応、ERM の視点で取り組んでみてはいかがだろうか。

確かに日本版 SOX 法対応は、端的に言えば法規制への対応、コンプライアンスである。しかし、コンプライアンスという意味では、新会社法、日本版 SOX 法、個人情報保護法など、次々に対応が求められる時代であり、財務報告だけ健全になっても、会社全体としてのガバナンスが確立できなければ、法規制対応もままならない。

世の中では規制緩和の方向だといわれている割に、実際には次々に規制が登場している。業種別の規制を緩和して自己責任を前面に打ち出したのはいいが、自己責任だけでは限界がある。そこで、自己責任を問う分野ごとに個人情報保護法や日本版 SOX 法といった形で規制が生まれてきたというのが、現在の状況である。

今後も情報セキュリティ、ディザスターリカバリー (災害復旧)、ビジネスコンティニュイティ (事業継続性の確保) といった分野で次々にガイドラインが出てきても不思議ではない。

COSO「ERM フレームワーク」

ページのトップへページのトップへ

特集 日本版 SOX 法