J-SOX対応は本当に大丈夫か?(2)

徳田浩司(Koji Tokuda) 2006-05-07 06:30:30

JSOX対応ビジネスへの大きな期待

米国のSOX法は、日本流にアレンジされ日本版SOX(J-SOX)となった。COSOというフレームワークにプラスして「ITを活用」することとはっきりと明記されており、IT業界は色めき立っている。特需発生だ。米国のSOX法対応では、初年度コストが一社平均4、5億円かかったそうで、その数字がどのベンダーのプレゼンテーションにも使われている。当然日本でも同じ現象が起こることが予想される。日本には上場企業が4,000社近くあるので、単純計算すると2兆円の市場が突然出来上がることになる。子会社・関連会社や場合によってはアウトソーシング先も対象になると思われ、それを含めると気が遠くなるほど非常に大きな市場となる計算だ。少し割り引いて考えても大きな数字で、実際に2005年11月に、調査会社のIDCより「日本版SOX法施行に伴うIT投資の市場規模について、2009年に7,000億を超える」との予測が出た。これは大いに期待感が膨らみ、色めきたつのも無理はない。実は私もその一人であった。

思ったほど売れていないのか?米国SOXのITソリューション

しかし、本当にそうなのか?と思った。米国はSOX法が法制度化されたのが4年前の2002年である。それならばとっくの昔にSOX対応でIT化が進んでよいはずだ。米国は経済規模が日本の約2倍あり、上場企業も8,000社以上と2倍の数が存在するので、すると何兆円もソフトウエア業界の業績が伸びることになる。IT産業内で、SOX対応によって業績が大幅にアップしたという話があちこちに出てきてよいはずだ。確かに関連商品の売上は伸びているというのは聞くので嘘ではないし、注目はされている。しかし、どうもそこまでの話にはなっていない。私が顧問をしているシリコンバレーのベンチャー企業では、上場まで先のことのようで、当の米国企業もSOXと言ってもピンと来ない。いろいろなベンダーに、「御社のソリューションはSOX対応しているのか?実際にどんなふうに使われたかケーススタディを教えてほしい。」と聞いても「SOXって何?」と逆に聞き返してくる人も少なくない。何かちょっと違うぞと感じ始めた。

冷静な銀行業界

極めつけは、先月、ある米国金融テクノロジーの専門誌の編集者との会話であった。銀行業界でコンプライアンス対応は非常に重要である。重大なコンプライアンス違反は、銀行の消滅まで引き起こす。私が10数年働いていた銀行も、悪い情報を隠すという違反事件で逮捕者が出て、銀行自体も事実上無くなってしまった。銀行には上場企業も少なくなくSOX対応も重要であるはずで、大変な話題になっていると信じて疑わなかったのである。

「御社は金融ソリューションを取り扱っているのでご専門と思います。御社の記事で銀行のSOX対応事例とか関連記事があったら読みたいので教えて欲しいのですが?」と尋ねた。しかし、彼女は「うーん、SOX対応は、私は取り扱ってないわね。でも何か記事があると思うからあとで連絡するから連絡先を教えて。」と、言われた。金融テクノロジーを取り扱っているので、さぞかしいろいろと話が聞けると期待したのであるが、SOXについてどうも知らないようで拍子抜けした。自宅に戻って、その雑誌とホームページを見てみたが、確かにその通りでSOX対応なんて記事になっていなかった。そもそも、銀行は規制業種で、既にある程度の情報管理や内部統制の仕組み、システム化の基盤が出来あがっているので、それほど大変だという話にもなっていなかったのかもしれない。もちろん彼女からは、いまだに連絡はない。

コンプライアンスという観点からは、むしろバーゼルIIという大きな規制があり、2007年3月末から実施される予定である。これは新しい自己資本比率規制であり銀行業界では非常に重要である。金融機関が自己資本比率を算出するに当たって、複数の計算手法の中から自らのリスク管理の実態に合った適切な手法を選択することが求められている。先進的な計算手法(信用リスクの内部格付手法とオペレーショナル・リスクの先進的計測手法)を選択する金融機関は、リスク管理の一層の高度化に取り組むとともに金融当局の承認を得る必要があるということで、今年中に対応しなければならない。それに対応できなければ、業務範囲が限定されてしまう。その対応ソリューションの方が重要視されており、SOX法どころの話ではなかったのだろう。

銀行員だったのでよくわかるが、支店業務には「事務の手引き」と呼ばれる細かなマニュアルが存在する。預金、内国為替、外国為替、融資、証券業務などと、担当業務別に、細かく手続きが決められており、できるだけ人手を介さずにしており、また誰が担当しても同じ結果になるようシステム化されている。業務手順は明確であり、既にほとんどが文書化されている。しかも、事務処理スピード、ミス率なども細かく測定され、成績の悪い行員は教育を受けるし、不向きと判断されると配置転換される。月末など事務が多忙な時には本部から応援に来るし、突然異動となって(銀行では、不正行為をけん制するために、異動は突然やってくる)、担当者が変わっても以前と変わらず仕事を手がけることができる。一人ひとりは歯車であり、非常にシステマティックに動いている。銀行にとってSOXはそれほど重要な話ではないのだろうか?

米国ではどうだろうか?調べてみると、同じようにマニュアルが整備されているし、基本的な管理方法はだいたいどこも同じで、管理マニュアルが市販すらされている。銀行のテラーはだいたいどこでも同じような業務で、別の銀行に転職してもすぐに働ける。日本は銀行ごとに業務が異なり統合一つとっても大変だ。社内での配置転換はあまりないが、転職が多い米国らしい話である。

本当にIT化につながっているのか?

そのため銀行に関しては、SOX対応と言われても、今更何が必要なのか?というところもあるのではないかと思った。SOX準備は大変だが、本当にIT化につながっているのか?刑事罰にもつながるので確かに大変ではあるのだが、それがすぐにIT化になるという話とはちょっと違うのではないだろうか。日本のIT業界が拡大解釈して、ユーザ企業を煽っているだけではないか、という気がしてならない。もう少し深く掘り下げてみる必要がありそうだ。

(徳田浩司 koji.tokuda at www.fusion-reactor.biz

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR