本誌vol.298のITコラムで「日本版SOX（企業改革）法の施行」について記載しましたが、今回はさらに「日本版SOX法とIT」の関係について述べます。 　復習になりますが日本版SOX法とは、会計監査制度の充実と企業の内部統制強化を求める法規制です。内部統制とは、「標準化」や「手順化」のことであり、「活動の透明性を確保」することです。特に日本版SOX法の特徴として、経営者にIT活用による内部統制の確立が求められています。
内部統制の目的として財務諸表の信頼性（不正をしていないこと）のみならず、経営の有効性、効率化が挙げられます。このために業務プロセスを標準化しておく必要があります。もしも業務が標準化されていないとしたらどうでしょう？決済のない購入や場当たり的な販売によって、企業活動に大きなダメージを与えるかもしれません。また、属人的な仕事のやりかたのまま特定の人に依存した運用になってしまいます。 　現状の業務分析から「あるべき姿」の業務プロセスの標準化・手順化をすることは、経営戦略の策定のためにも必要なことです。ITは標準化や手順化されたものを機械的に処理することが得意です。このように業務プロセスの標準化によって、文書管理やワークフローの導入が容易になるばかりでなく、不正な業務プロセスの発見や内部統制に従って適切に運用されている証明も容易になります。
次に必要なことはセキュリテイです。業務プロセスを標準化しても、その伝票や文書が改竄されたり、コピーされる可能性を防ぐ必要があります。例えば表計算ソフトを使って決算や購買業務をしている場合は、そのファイルを誰でも開くことができたり計算式を変更できるのでは、統制できているとは言えません。そのためにはアクセスを管理したり制限する必要があります。また、できあがったデータについても変更不可とするなど不正使用を防止する必要があります。人手では、これらの制御や管理はできませんが、ITを活用することで対応できます。文書のアクセス制御、版管理、改竄防止のツールがあります。また、ワークフローの中で作成、審査、承認権限を設定しコントロールするものが多くあるので活用できます。 　内部統制には報告と監査が必要になります。前述の標準化に沿って、セキュリテイ対策がなされていることを証明しなければなりません。少し話は逸れますが、「その場にいなかった」という証明は非常に困難です。そこで「その場とは別のところにいた」ことを証明するのがアリバイです。不正なことはしていないことの直接的な証明は困難ですが、正しい業務プロセスに従っていることを証明することはできます。 　人手の作業では、不正な業務プロセスがないことを証明するのは困難ですが、ITを使えば不正操作を発見したり、正しい業務プロセスに従っていることを履歴管理で証明することが容易にできます。 　内部統制は「見える化」と「見せる化」でもあると言われています。それは透明性だけでなく、これまで見えなかった業務プロセスを見えるようにすること、権限と責任を明確にすることです。普段何気なく押印している書類も、作成、審査、承認、保管経路を洗い出して文書や図にすることが標準化の第一歩であり、「見える化」の実現です。 　法律のための業務の標準化やIT導入ではなく、経営戦略の見直しと課題解決のためのIT導入の検討であれば、おのずと業務の標準化がなされます。そこにセキュリテイと履歴を考慮することで、日本版ＳＯＸ法への対応が容易になるだけでなく、経営者を含めた企業内のITガバナンス確立の良い機会になります。