みずほ情報総研は9月7日、金融機関の日本版SOX法への対応に関するプレス向け説明会を開いた。地方銀行60行を支援している同社の実績から見えてきた、金融機関の課題とは?
地銀60行に採用された、みずほの文書化テンプレート
「日本版SOX法への対応は、企業にとっても、監査法人にとっても初めてのこと。何を準備しなければいけないか、どこまでやればいいか、まだ手探りの状態だ」。みずほ情報総研コンサルティング部、セキュリティコンサルティングチーム次長の尾形俊彦氏は、金融機関における日本版SOX法対応の課題についてこのように話す。
もともと、金融機関では、利用者保護を目的に金融庁が行なう金融検査の基準「金融検査マニュアル」などによって、一般企業に比べて厳しい基準が求められている。金融検査マニュアルでもリスク管理体制の整備を求めており、「視点は違うものの、日本版SOX法とかぶる部分もある」(尾形氏)。そのため他業種に比べて進んではいるものの、「営業店はしっかりしていても本部では遅れていたり、金融機関によってばらつきがある」という。
尾形氏によると、金融機関の日本版SOX法の対応状況は、「遅れているところで文書化の途中くらい」。比較的体力のある上位行などでは、文書化したものの評価(設計評価)に着手している段階で、「12月ぐらいには遅れているところでも設計評価に入るのでは」という。
みずほ情報総研では、昨年11月から金融機関向けの文書化テンプレートを提供していて、すでに地方銀行60行に採用されている。ニューヨーク証券取引所に上場している、みずほフィナンシャルグループが米国SOX法対応時に作成した文書をベースにしたもので、「とにかく我々も作業を進める中で時間も手間もかかった。コストを低減するための見本となるように作った」(尾形氏)という。提供されるのは、文書化3点セット(業務フロー、業務記述書、リスクコントロールマトリクス)のテンプレートと、設計評価や運用テストの手引き、IT全般統制のチェックリストサンプルなどの参考資料である。
尾形氏は、テンプレートの提供を機に「最近では、単に“日本版SOX法に対応するため”だけではなく、テンプレートを参考に業務を効率化しよう、という当初、期待していなかった流れもでてきた。日本版SOX法の対象とならない信用金庫などからも関心が寄せられてきている」と話した。
このほか、みずほ情報総研ではIT全般統制や運用テストのコンサルティングサービスなども提供しており、9月中には有効性評価の作業効率化を図るソフトウェアツール「日本版SOX法支援システム」をリリースする計画である。
