【'05年】内部統制ブームの中でスプレッドシート統制を語るプレーヤーが急増

EuSpRIG 2005: SOX法対策・内部統制一色

2005年のEuSpRIGの年次大会は、「サーベインス-オックスリーの観点でのスプレッドシート管理」("Managing Spreadsheets in the light of Sarbanes-Oxley")をテーマとして開催されました。

発表の構成は以下の通りです。

基調講演

• 「規制に関する最新情報」
  (原題:"Regulatory Update")
  Buckner (Financial Services Authority)
  
  
• 「スプレッドシート管理及び是正プログラム」
  (原題:"Spreadsheet management and remediation program")
  Pettifor (PriceWaterhouseCoopers LLP)

一般講演

• 「サーベンス-オックスリー: スプレッドシートはどうする？」
  (原題:"Sarbanes-Oxley: What About All the Spreadsheets?")
  Panko　(ハワイ大学)
  
  
• 「スプレッドシートリスク及び説明責任」
  (原題:"Spreadsheet risks and accountability")
  Cleary, Norris-Jones (Wales大学Cardiff校)
  
  
• 「不正行為に対するスプレッドシートの保護」
  (原題:"Protecting Spreadsheets against Fraud")
  Mittermeir (オーストリアKlagenfurt大学)
  
  
• 「ロンドン市に於けるスプレッドシートの重要性及び重大性」
  (原題:"The importance and criticality of spreadsheets in the City of London")
  Croll (Frontline Systems Ltd)
  
  
• 「法規と情報サプライチェーンに於けるインテグリティ」
  (原題:"Regulation and the integrity of spreadsheets in the information supply chain")
  Baxter (ClusterSeven Services Ltd)
  
  
• 「Qtier-Rapor: サーベンス-オックスリー法を遵守するスプレッドシート」
  (原題:"Qtier-Rapor: Spreadsheets in compliance with the Sarbanes-Oxley act")
  Bishop (Qtier Software Ltd.)
  
  
• 「セル(独房)からの脱出: スプレッドシートとユーザとの対話の新たなパラダイムを活用して」
  (原題:"Breaking out of the Cell: on the benefits of a new spreadsheet user-interaction paradigm")
  Hellman (イスラエルInrise Financials Inc)
  
  
• 「スプレッドシートに於ける情報フローの制御」
  (原題:"Controlling the information flow in spreadsheets")
  Patni (アメリカExtensio Software Inc)
  
  
• 「スプレッドシートモデル用の監査プロトコルの開発」
  (原題:"Developing an auditing protocol for spreadsheet models")
  Powell (Dartmouth大学)
  
  
• 「サーベンス-オックスリー404遵守を可能にするスプレッドシートの使い方」
  (原題:"The use of spreadsheets to enable Sarbanes-Oxley 404 compliance")
  Carter (Smarttech Consulting Services Ltd.)
  
  
• 「何故、どのように、そして何時、スプレッドシートテストを使うべきか」
  (原題:"Why, how, and when spreadsheet tests should be used")
  Nash, Goldberg (カナダOttowa大学)
  
  
• 「スプレッドシート開発に於けるヒューマンエラーの検討」
  (原題:"Exploring human factors in spreadsheet development")
  Thorne (Wales大学Cardiff校)
  
  
• 「Excelsior: モジュラー化の利点をExcelに」
  (原題:"Excelsior: bringing the benefits of modularisation to Excel")
  Paine
  
  
• 「スプレッドシートエラー分類改訂版」
  (原題:"A revised classification of spreadsheet errors")
  Rajalingham (Westminster大学)
  
  
• 「スプレッドシートと他ツールの比較 (制限、解決策、回避策、代替策)」
  (原題:"Comparison of spreadsheets with other development tools (limitations, solutions, workarounds, and alternatives")
  Murphy (Codematic Ltd.)
  
  
• 「Excel是正サービス, 包括的なアプローチ」
  (原題:"Remediation services for Excel, a comprehensive approach")
  Pruis (Scientific Software, Inc)
  
  
• 「アーカイブ: スプレッドシートの見過されているリスク」
  (原題:"Archiving: the overlooked spreadsheet risk")
  Lemieux (Credit Suisse First Boston Ltd.)

誰もがSOX法・内部統制の実務を注視

2005年のEuSpRIGの年次大会は、前年とは打って変わって、SOX法及び同法404条で要求する内部統制及びその評価に関する発表ばかりとなっています。「踊り場」と表現した2004年の状況が、僅か1年の間に一変しました。

講演者の構成にも大きな変化が見て取れます。19件の講演は、ユーザ企業1件、監査法人1件、官庁1件、大学7件、残る9件がツールベンダ或いはその代理店によるものでした。ツールベンダも実務家とした場合には、遂に、講演者の過半数が実務家で構成されるに至ったことが分かります。

お馴染みとなった金融サービス機構(FSA)のBucknerは、スプレッドシートを含むユーザが開発したシステムに対して、以下の様に述べ、適切な対処方針を立てることを訴えました。

企業には、ユーザが開発したシステムに関する戦略を持つことをお願いしたい。その際に、より大きなシステムでの置き換えに頼ってはいけません。手許のコンピュータ処理能力を、一台の汎用機に移行させることに力を注ぐのではなく、散在するシステムに対して、汎用機に対してと同様に、同じ統制及び管理を適用すべきなのです。

同時に、経営者がスプレッドシートに関する教育に乗り出すことが必要とも述べています。

また、Bucknerは、スプレッドシートをデータ処理に用いるべきではないと警告しています。Bucknerに続いて講演したPwCのPettiforも、同様に、スプレッドシートの利用は、データ分析に限定すべきと主張しました。Murphyも、Excelは、プロトタイプ開発に用いるべきと言っています。それだけ、スプレッドシートを統制することが困難だったのだと伺い知ることができます。

Crollは、ロンドンの金融街"The City"に於いて、Bucknerの警告とは裏腹なスプレッドシート利用の実態があると報告しています。調査手法が必ずしも科学的とは言えない恨みはありますが、注目すべき発見を含む報告でした。

Thorn、Rajalingham等による伝統的なエラー研究の発表もありましたが、その長老である筈のPankoは、SOX法対応に研究領域を拡大していました。EuSpRIGの常連であるClearyやMittermeierも、SOX法を意識した内容にアレンジしています。

21 CFR Part 11対応用ソリューションのEuSpRIGへの合流

ツールベンダの発表では、21 CFR Part 11対応用に開発されたソフトウェア、Pankoが「Vaultサーバ」と呼んで紹介している(「法令順守及び適正実施の為にスプレッドシートを統制する為のフレームワーク(2)」参照)製品のベンダ(米国Scientific Software)及びその代理店(Wimmer Systemsの代理店である英国Smarttech Consulting Services)による発表があったことが注目されます。

「Vaultサーバ」は、21 CFR Part 11の要件を想定して開発された製品であり、FDAが、改竄や偽造の容易な電子的な記録、及び企業による保管を信用する為の条件として定義した要件の充足を目的としています(「【'02-'03年】(2)製薬業界に於けるスプレッドシート統制の展開」参照)。

彼らは、大手製薬会社向け需要の一巡からか、ブームに沸く404条対応用ITソリューション市場向けに製品を転用すべく、金融機関を中心に売り込みを掛けています。Smarttech Consulting Servicesは、この年の年次大会の後援者にもなっており、力の入れようが伺えます。

尚、21 CFR Part 11とは無関係に、業務統制を主眼にスプレッドシート統制用ITソリューションを開発していたClusterSeven ServicesのBaxterも、2004年に続いて、2回目の登壇を果たし、開発支援から総合的な統制へ進出しようとしていたQtierのBishopが初めての発表に臨みました。

言語によるスプレッドシート開発への根強い取組み

Painは、前年に続いて、言語によるスプレッドシートの定義、生成及び操作を行うツールについて発表しています。Painは、2001年のEuSpRIG年次大会でも、Model Masterと呼ぶツールを発表しており、一貫してこの分野に取組み、遂に、製品化を果たしたのでした。

言語によってスプレッドシートを扱うことには、スプレッドシートの構造化(部品に分割して再利用)や、大量のスプレッドシートデータの一括操作を容易にする利点があります。本来は開発支援ですが、使い方によっては、統制にも有効となり得ます。

余談になりますが、日本国内のアプリケーションベンダにも、Painが開発したExcelcior(喫茶店チェーン名から命名)を採用している会社があります。

EuSpRIGとSERPの交流

また、O'Bierneの報告によると、年次大会の終了日に、EuSpRIGの運営メンバと、米国Dartmouth大学の"The Spreadsheet Engineering Research Project"(SERP)との研究協力を話し合ったとのことです。INFORMSに次ぐ海外スプレッドシート関連団体との交流です。

尚、SERPを率いていたStephen Powellは、Kenneth R. Bakerとの共著で、"2003年に"The Art of Modeling With Spreadsheets: Management Science, Spreadsheet Engineering, and Modeling Craft"、2007年に"Management Science: The Art of Modeling With Spreadsheets"(トップページ左側の「市販書籍」欄参照)というタイトルのスプレッドシートに関する広範なトピックスを扱った本を著しています。

IT調査会社によるスプレッドシート統制に関するレポート発行

2005年は、欧米のIT調査会社が、スプレッドシート統制に関するレポートを相次いで発行し、スプレッドシート統制用のITソリューションを、注目すべきカテゴリとして、調査対象に加えた年です。

Bloor Researchによるスプレッドシート統制の初レポート

まず、2005年4月に、英国Bloor Researchが、「スプレッドシート管理」("Managing Spreadsheet")と題した正味14ページ程の白書を発表しました。著者は、BI分野担当Research Directorを勤めるPhilip Howardでした。管理人が知る限り、これが、IT調査会社による内部統制目的のスプレッドシート統制に関する最初のレポートです。

Howardは、Webサイト"IT Analysis"に寄稿した記事の中で、(スプレッドシート管理について書いた)「資料が余り見当たらないので、自分で白書を書いてみた。」と発行の経緯を語っています。白書の冒頭部では、この白書が、スプレッドシートに関するリスクをユーザに知らしめ、スプレッドシートの管理をIT部門の手に委ねられるようにすることに重点を置いていると述べています。

Howardは、まず、スプレッドシートに関する問題を提示します。PricewarterhouseCoopers(PwC)が前年に発行した白書「スプレッドシート利用：SOX法404条対応の検討」(「「スプレッドシート利用：SOX法404条対応の検討」の注釈」参照)や、1997年のCoopers & Lybrand時代の同社による報告(入手不能)、1997年のKPMGの報告(入手不能)から実例を示した上で、エラーを分類。続いて、セキュリティ管理及び監査に関する典型的な問題を指摘。

スプレッドシートが企業の経営資源になっていることを認識し、それに見合った品質管理プロセス及びスプレッドシート管理を導入すべきと主張しています。さらに、スプレッドシートの所在探索、配布、バックアップ等を自分でやらねばならない利用現場の管理者やアナリストの生産性低下、個別データ収集の無駄、大量に散在するスプレッドシートの機能重複及び管理不全を指摘して、ITソリューションによる問題解決の余地を示唆しています。

スプレッドシート統制用ITソリューションの分類を提示

問題指摘の次には、スプレッドシート管理の手段について述べています。Howardは、スプレッドシート管理用のITソリューションを、以下の2種類に分類しています。

• 完全管理型ソリューション
  スプレッドシートにセルレベルでの厳格なアクセス制御を適用し、アクセス記録及び監査も行うソリューション。導入後に開発されるスプレッドシートを対象とする(管理人注: 導入の手間は掛かるが、本当は、既存スプレッドシートを考慮していない訳ではない)。
  
  
• CCTV型ソリューション
  CCTV(監視カメラ)と同様に、マクロや式の変更を含む全ての操作を記録し、アクセス制御は一切行わないソリューション。既存及び新規開発の両方のスプレッドシートを対象とする。

Howardは、後者の方が成熟していて、監査機能については前者に比べて一日の長があり、既存スプレッドシートの収容も容易だとして、暗に、短期的には導入が先行するだろうと見ています。この辺りは、指摘事項に間違いは無いのですが、少々考察が不足という印象があります。製品例も、CCTVソリューションベンダの例として、ClusterSevenが挙げられているだけで具体性がありません。

また、Howardは、CCTV型ソリューションが、金融機関に於けるトレード業務の様な、大変高度でミッションクリティカルなスプレッドシートを扱うユーザを、主な導入先に想定していると述べています。この様なユーザは、既にスプレッドシートを重要な経営資源と認識し、開発体制を含む統制環境が整備されているので、厳格なセキュリティ管理が問題とならないと言っています。

21 CFR Part 11対応用ソリューションは対象外?

もしかすると、Howardは、米国に於ける21 CFR Part 11用のITソリューションの展開(【'02-'03年】(2)製薬業界に於けるスプレッドシート統制の展開参照)を十分に知らなかったのかもしれません。仮にそうだとしても、白書発行の3ヶ月後に開催されたEuSpRIGの年次大会(上述)によって、当該ソリューションの存在に気が付いた筈です。

しかし、2006年に発行された改訂版("Version Ⅱ")の白書でも、彼は、21 CFR Part 11用のITソリューションに言及していません。このカテゴリのソリューションを21 CFR Part 11対応以外の目的に転用することに無理を感じているのか、何か他の理由があるのか、原因は明らかではありません(ITソリューションの選択に於いては重要となる論点なので、十分に論じられていないのは残念です)。

十分ではないが多くの論点に言及

Howardは、ITソリューションの要件も示していますが、これは、十分に検討されたものというよりも、思い付くものをリストにした程度です。XMLスキーマでデータ検証やインテグリティ保証ができるように、XML形式でスプレッドシートを保存すべきという提言(?)等、選択肢としては有り得るが、「より適切な方法を、先に検討すべきでは？」と思える提言も有ります。

ITソリューションの要件に続けて、Butlerにより繰り返し紹介されて来た「スプレッドシートモデルの監査手法」("Methodology for the Audit of Spreadsheet Models")に記載されたベストプラクティスや、Excelが持つ監査機能の使用等を推奨しています。特定のITソリューションの導入だけでは、統制が成り立たないことを理解しての言及なのでしょう。

最後に、統制の導入手順や方針を、聊かランダムに箇条書きして、結論を書いています。結論の中から、目に付くものを以下に挙げます。

• スプレッドシートは今後も使い続けられる。
• 無理にユーザを別の手段に移行させようとしたら失敗は必至。
• 問題は、スプレッドシートの利点を維持しながら適切に管理すること。
• セキュリティ管理と監査の機能は、ユーザに影響を与えない外付けとすべき。
• これらの機能の実現には、業務横断的に利用できる製品を選択すべき。

Forrester ResearchはBI中心の視点から統制に言及

Bloor Researchによるレポートに続いて、2005年6月には、Forrester Researchが、「ExcelのいかれたBI世界の中で、ITを正常に保つには」("Keeping IT Sane In A Crazy BI World Of Excel")を発行しました。

管理人は、「ExcelのいかれたBI世界の中で、ITを正常に保つには」を入手していないため、正確な内容は把握できていないのですが、Forrester Researchのレポート紹介ページや、Excel User, Inc.が発行するニューズレターに於けるコメントを見る限り、論旨は以下の3点の様です。

• ExcelはBIツールではない。
• しかし、Excelはデータ操作及び加工に使われる最も人気のあるツール。
• Excel利用の統制を図るには、BIプラットフォームへの統合が必要。

この推測が正しいとすると、このレポートは、スプレッドシート統制について十分に論じたものではないと考えられます。Forrester Researchは、2007年に入って、本格的にこれを論じたレポートを発行するのですが、2005年時点では、まだ、本格的な調査及び分析ができていなかったのかもしれません。

Gartnerによるスプレッドシート統制レポートへの参戦

Forrester Researchの5ヶ月後の11月に、Gartnerが、以下に示す短いレポート×2本を発行し、これを追っています。

• 「スプレッドシートはビジネスインテリジェンス及び企業パフォーマンス管理アプリケーションに対する危険な代替品」
  "Spreadsheets Are a Risky Substitute for Business Intelligence and Corporate Performance Management Applications"
  Jay Heiser, Frank Buytendijk
  (正味3ページ強)
  
  
• 「統制されていないスプレッドシートのリスクを認識せよ」
  "Recognize the Risks of Uncontrolled Spreadsheets"
  Jay Heiser
  (正味2ページ強)

結論を先に言えば、いずれのレポートも、調査及び分析の内容に物足りなさの残る内容でした。

しかし、最大手のIT調査会社であるGartnerが、分析対象分野としてスプレッドシート統制を認識したことには、スプレッドシート統制の認知度向上に対して、大きな意味があったと思われます。

Gartnerによるスプレッドガバナンスツールの定義

上記の「スプレッドシートはビジネスインテリジェンス(BI)及び企業パフォーマンス管理(Corporate Performance Management: CPM)アプリケーションに対する危険な代替品」は、タイトルから受ける印象とは異なり、今後も利用されるスプレッドシートを統制するには、何を検討すべきかというテーマで書かれたレポートです。

このレポートも、スプレッドシート統制アプリケーションを以下の2つのカテゴリに分類しています。

• スプレッドシート監査ツール
  ロジックエラーの検出等によりスプレッドシートの品質を保証する為に用いられて来たソフトウェア製品。
  
  
• スプレッドシートガバナンスツール
  スプレッドシートを対象とした変更管理、監査、操作監視、異常検出及びアクセス制御等の機能を提供するソフトウェア製品。

スプレッドシート監査ツールは、スプレッドシートの品質向上に関する効果があるが、スプレッドシートが開発された後の保護には、スプレッドシートガバナンスツールが必要と、その位置付けを説明しています。

前述のBloor Researchの白書とは、異なる分類です。特に、Gartnerの「スプレッドシート監査ツール」が、Bloor Researchの「CCTV型ソリューション」とは別物であることに注意が必要です。前者は、エラー検出用ツールを指し、後者は、継続的な操作または値のモニタリングを行うツールを意味しており、補完関係にあります。

Gartnerのレポートは、スプレッドシートガバナンスツールを、21 CFR Part 11及びSOX法によって注目されている分野として紹介しています。21 CFR Part 11対策とSOX法(404条)対策を一つに括って扱っている点は、Bloor Researchとは異なります。

スプレッドシート統制の多様な位置付けを紹介するが道半ば

また、Excelが、BI或いはCPMで置き換えられる運命にあるとする意見に対して、そんなことは起きていないし、今後も起きそうにないと切り捨てています。

その一方で、予算管理や連結決算及び財務報告では、BIやCPMがスプレッドシートへの依存を低減させられると述べ、かと思ったら、その結果、ますます、Excelが利用されるとの懸念を示しています。

米国食品医薬品局(FDA)が、21 CFR Part 11によって、世界の規制当局で最初に、スプレッドシートを重要な業務記録を構成すると認めたことを示し、スプレッドシートを対象とした21 CFR Part 11対応用ITソリューションにも触れ、そのSOX法対応への転用を示唆した点も、その後の分析に期待を持たせるものでした。

「スプレッドシートはビジネスインテリジェンス及び企業パフォーマンス管理アプリケーションに対する危険な代替品」は、この後、スプレッドシート統制の導入手順として、4段階の手順を簡単に説明し、最後にスプレッドシートの利用及びリスクに関する事実として、よく知られた点を3点挙げてレポートを締め括っています。

テーマ設定は良いのですが、十分に調査及び分析ができる前に、予告編をリリースした様に感じられます。

第2弾のレポートも断片的な統制手法提示のみ

上記の「統制されていないスプレッドシートのリスクを認識せよ」は、「スプレッドシートはビジネスインテリジェンス及び企業パフォーマンス管理アプリケーションに対する危険な代替品」を発行した10日後に発行されたものです。やはり、ExcelをBI或いはCPMで置き換えることの無理を認め、これらの導入が、却って、Excelの利用を増大させるという前提で、Excel利用のリスクに対する対策を示しています。

但し、残念ながら、このレポートが極めて小品だということもあって、議論の内容、示された対策は、極めて断片的なものに止まりました。

Excelで配布すると、正式な印刷か、不正に変更した結果の印刷かの判別ができないという様な、本当は、対策が考えられる問題が致命的な様に書かれていたりもします。

それでも、Excelを、参照及び配布にのみ利用して、データ及びメタデータ(管理用データ)は、BIやCPMアプリケーションで処理すれば良いという考え方に対して、"not true"と、はっきり否定している点等は、流石に現実的と言えます。

21 CFR Part 11対応用ITソリューションベンダの相次ぐ買収

Excelスプレッドシートを対象とした、21 CFR Part 11対応用ITソリューションのベンダにとって、2005年は、上述の様に、EuSpRIGの年次大会でも紹介され、IT調査会社のレポートでも紹介されるようになった年です。

ところが、その一方で、この年は、以下に示す様に、当該ソリューションベンダの買収が相次ぎます。

• 米国Agilent Technologiesが米国Scientific Softwareを買収。
• 米国compassoftが米国Wimmer SystemsをスイスABBの子会社から買収。

2005年は、大手製薬会社向けの「Vaultサーバ」販売の行方が、既に定まりつつあった時期だと思われます。この年、金融業界とのつながりを深めていたEuSpRIGに、「Vaultサーバ」ベンダが参加したのも、上記の買収が起きたのも、同じ背景を持った出来事だったと考えられます。

AS2に基づく監査に関する指針の明確化

SOX法、特に、その404条は、上述の様に、EuSpRIGの2005年年次大会を一色に染め上げ、同時に、IT調査会社にスプレッドシート統制に関するレポートを相次いで発行させました。

しかし、スプレッドシート統制は、404条によって、広く注目される様になったものの、404条自体の導入は、監査人によって求める内容が異なる等、多くの混乱を生み、批判もされていました。非早期適用会社に対する404条適用開始期日は、この年も、延期を繰り返すことになります。

それでも、2005年には、大分、議論も整理されて行きました。

AS2適用に関する当たり前の指針

まず、公開企業会計監視委員会(PCAOB)が、2004年末に監査基準第2号(AS2)の導入初年度に於いて発見された問題点に関する報告書を発行しました。ここで挙げられた問題の多くが、2005年4月に、SECが開催した円卓会議に於いても指摘され、コンプライアンスに要する費用の問題がクローズアップされました。

PCAOBは、これらの結果を受けて、2005年5月に、方針声明("Policy Statement")「監査基準第2号の導入に関する方針声明: 財務報告書監査と併せて実施された財務報告に係る内部統制の監査」("POLICY STATEMENT REGARDING IMPLEMENTATION OF AUDITING STANDARD NO. 2, AN AUDIT OF INTERNAL CONTROL OVER FINANCIAL REPORTING PERFORMED IN CONJUNCTION WITH AN AUDIT OF FINANCIAL STATEMENTS")を発行して、AS2適用に関する指針を示しました。

この方針声明によって、会計監査と内部統制監査の統合、トップダウンアプローチの採用、リスクアプローチの採用、他作業成果物の活用、監査人と企業との直接及び適時の対話等の指針が示されました。内部統制監査の在り方、より端的に言えば、監査人の監査手法及び要求事項が、漸く、今日の標準的な方針に落ち着きました。

少し考えれば分かりそうな指針を改めて出す必要があった原因は何だったのでしょうか? SOX法が短期間で成立し、早期適用会社への適用開始迄の準備期間が短期間だったことだけではない様に思えます。商業主義へ偏重なのでしょうか? それとも、監査人の質、或いは監査業務負荷の問題でしょうか?　日本が、米国の轍を踏まないことを望みます。

金融商品取引法への道を歩み始めた日本

このシリーズでは、これ迄のところは、日本国内の内部統制に関する動向について触れていませんでした。

日本でも、金融機関の破綻を契機として、金融改革が進められ、バーゼル委員会によるフレームワークを参考にして、金融検査マニュアルが作成されていました。しかし、金融機関に限らずに、企業が、内部統制に注目する様になったのは、主に、金融商品取引法の成立に因ります(会社法も重要な契機の筈ですが、金融商品取引法に比べると、何故か目立ちません)。

内部統制部会等による基準検討

金融商品取引法の制定は、2004年後半以降、財務報告に関する企業不祥事が次々と明るみに出たことを契機として、推し進められました。2005年に入って、1月に、企業会計審議会に、企画調整部会、監査部会、内部統制部会が新設され、2月に内部統制部会の最初の会合が開催されました

会合の冒頭で、金融庁の担当官は、「SOX法のように強制規定に変えるというような見通しもお持ちなのですか。」との質問に対して、以下の様に述べています。

「まず、考えておりますのは、今は任意の制度がございますので、この任意の制度をとにかく積極的に活用していただく。それを促していくというのが一つ我々やっていこうと思っていることです。」

「こうした活用を促していくためにも基準をしっかりつくっておかないと、使ってくれ使ってくれと言っても何を確認してどうやったら評価したことになるのだと言われても、我々、なかなか説明がしにくいところがございますので、こういう基準の明確化というのが必要だろうということで当審議会にお願いをする。」

「やはり義務化するしないという議論をするにしても、そもそもどういう手続をすることを義務づけるのかというところの命題がはっきりしないと、義務づける義務づけない、あるいは義務づけるとしてどの範囲の企業に義務づけるのかというのは決めようがないというようなところであった。」

「コストベネフィットというようなことも総合的に勘案して、義務化をどういう形でやっていくのがよいのかというのを最終的に金融庁として意思決定をしていきたい。」

第1回内部統制部会の議事録によれば、この時点では、必ずしも、経営者による内部統制の評価及び報告、及び第三者による監査を強制的な規定とするか決まっていなかった様です。

上述の金融庁の意向によって審議を重ね、同年7月に発行されたのが、「財務統制に係る内部統制の評価及び監査の基準」(通称、「公開草案」)でした。

国内企業の多くは、この時点で内部統制に対して注目することになったのではないでしょうか。情報システム部門の方は、まだまだ、注目しておらず、「内部統制とはどんなこと?」という程度の理解しか無い方が多く、注目していても、個人情報保護法やISO9000シリーズと同様の課題と考えていた方が少なくなかった様に思います。

管理人の印象では、2005年の日本国内では、財務報告に係る内部統制の為に、スプレッドシート統制に関する検討が必要と考える方は、米国SOX法適用会社と金融関係者の一部を除いては、殆ど居なかったと思われます。「Excelの利用を統制するなんて、やり過ぎですよ!」と反発されることも度々ありました(全てのExcelワークシートを統制対象とする必要は無いことは、今日ですら、理解されていないことがあります)。

金融商品取引法制定への準備とJ-SOXブーム

内部統制部会は、11月に、実施基準を作成する部会の設置を決議し、基準の成案を得た次の仕事である実施基準の作成を行う体制を整えました。

この時点では、「強制規定」とすることが固まっており、「投資サービス法」と呼ばれていた証券取引法の改組を検討していた金融審議会(金融分科会第一部)が、2005年の年の瀬も押し迫った12月末に、「投資サービス法(仮称)に向けて」と題した報告を発表しました。

2005年は、内部統制の評価及び監査の基準作成を通じて、強制規定化への合意形成を行った年だったと総括できそうです。

7月の｢公開草案」発表以降、会計関係者と一部の情報システム関係者に、次第に、「J-SOXブーム」が起きて行きました。この年の後半には、大手監査法人やその関係会社が、セミナーを開催するようになりました。ITソリューションを提供する会社では、企画部門が、J-SOXにあやかるべく、次年度の計画を練り始めました。

この時期、2004年迄に米国SOX法対策に携わった会計士やコンサルタントが、高く評価される様になって行きました。

2005年最大の収穫: "COBIT for SOX"の日本語訳

2005年の3月に、ISACA東京支部の20周年講演会が開催され、"Control Objectives for Information and related Technology"(COBIT)を大きく取り上げました。それまで、日本国内では、セキュリティ管理ばかりが注目され、より総合的なITガバナンスを目指すCOBITは、知る日とぞ知る文献に過ぎませんでした。

このCOBITの一部を構成し、SOX法対策に特化した"IT Controls for Sarbanes and Oxley"("COBIT for SOX")の初版を、新日本監査法人の土田義憲氏等が日本語訳しました。この日本語訳は、ISACA東京支部でのレビューに付され、同支部からITGIに提供されることになります。

"COBIT for SOX"は、スプレッドシートを中心としたEUCの統制に関する統制及びテストの例示を含んだ文献です(「企業改革法遵守のためのIT統制目標」の注釈(1)～同(3)に第2版の注釈記事あり)。この文献の日本語訳によって、国内に、スプレッドシート統制が上陸したと言っても過言ではありません。2005年の日本国内に於けるスプレッドシート統制に関する最大の収穫が、この日本語訳だったと言い得るかも知れません。

態様も進度も異なった各国のスプレッドシート統制への取組み

米国SOX法が、スプレッドシート統制に関する注目を集め、IT調査会社も調査対象とする等、2005年は、スプレッドシート統制への認知が急速に進みました。しかし、米・英・日の2005年時点でのスプレッドシート統制への取組状況は、各国に於ける背景事情を反映して、それぞれに異なったものでした。

EuSpRIGを中心に産官学の連携と啓蒙を進めた英国

'90年代からの研究及び実践の流れを汲み、ユーザ企業・監査実務家・規制当局・研究者の集う非営利団体EuSpRIGを擁する英国のスプレッドシート統制は、SOX法により活気付き、専用ITソリューションの登場によって、スプレッドシート運用の統制を実現しようとしていました。

EuSpRIGは、設立当初から、実務家団体であるISACAとも交流しており、実務家への啓蒙にも大きな効果があったと考えられます。また、保険、証券等を含む広義の金融業界に対する規制当局であるFSAもEuSpRIGとの関係を継続的に持ち、根気強くEUC統制の必要性を説いたことが、金融業界に於けるスプレッドシート統制に一定の成果を残しています。

資本主義のリーダ役としての功罪が反映された米国

一方、米国でも、スプレッドシート統制が、上場企業の共通課題となっていましたが、404条対応の混乱の中で、必ずしも優先順位の高い課題とは看做されていませんでした。

米国での実質的な牽引役は、営利法人である監査法人及びコンサルティング会社で、SERPや"The End Users Shaping Effective Software Consortium"(EUSES)の様なスプレッドシート関連ソフトウェアを研究対象とした団体はあっても、EuSpRIGの様な啓蒙活動は無かったのではないでしょうか。米国でのITソリューションは、既に存在していた"FDA 21 CFR Part 11"対応を目的とした製品の転用が始まりました。

スプレッドシート統制以前の段階にあった日本

日本では、財務報告に係る内部統制の評価及び監査に関する「基準」作成を通じた「強制規定」化に対する合意形成が進みました。スプレッドシート統制の必要性は、まだ、米国SOX法対応の実務に関与した少数の関係者にしか理解されていない状況でした。

スプレッドシート統制に限って言えば、2005年の収穫は、"COBIT for SOX"の日本語版に止まったと考えられます。

---

2005年になると、いよいよ、記事をお読みの皆さんにもお馴染みの経緯が多くなってきたと思います。次は、2006年に行くか、2005年前後の米国に於ける未掲載の動向にするか、思案中です。

ご意見・ご感想等あれば、お気軽にコメント願います。

*  *  *   以    上   *  *  *

(C)2007 linkfinder All Rights Reserved.