■日本版SOX法導入
　エンロン、ワールドコム社の不正会計処理による経営破綻を受け、アメリカでは2002年、企業改革法（サーベンス・オクスリー法：SOX法）が制定された。アメリカのSOX法は、上場企業に対して、「内部統制の評価とその報告書の作成」と厳しい「監査」を義務づけている。日本でも、カネボウの粉飾決算、西武鉄道の有価証券報告書虚偽などが明らかになり、対応の上、2005年7月に金融庁企業会計審議会が「財務報告に係る内部統制の評価及び監査の基準」の草案を公開した。これが、「日本版SOX法」で、2009年3月決算期から施行の見込みである。

　日本版SOX法は、財務報告の正しさを保証するために、業務全般にわたる内部統制遂行を上場企業に義務づけている。それは、従来の財務報告書に加えて、財務報告書に保証をあたえる内部統制報告書を提出することが義務となり、内部統制報告書は「経営者による保証」と「監査法人による監査」が厳しく求められる予定である。

　日本版SOX法の目的は、

1　業務の有効性及び効率性
2　財務報告の信頼性
3　事業活動に関わる法令等の遵守
4　資産の保全

である。この目的を達成するために、内部統制システムの構築を上場企業に課すことになる。それは、

　1　統制環境
　2　リスク評価
　3　統制活動
　4　情報と伝達
　5　モニタリング（監視活動）

の構築と遂行の記録を義務づけ、さらに

　6　ITによる情報管理（IT統制）

を重視し、業務処理統制（利用）と全般統制（環境）による複合的な統制を適用する。業務処理統制は、承認された業務が正確に処理され、記録されることを各々のアプリケーションシステムにおいて保全する、コンピュタープログラムの直接的な統制であり、全般統制は、ITを利用した業務処理が有効に活用される環境を、継続的に保証する間接的な統制を意味する。

■SOX法への対応とITIL

　日本版SOX法の目的を達成するためのITによる全般統制の範囲は、財務会計システムに力点がおかれている。それは受発注、資材調達、在庫管理、配送の各システムに渡り、資産が正確に管理・運用されていることを「業務処理統制」として説明および証明しなければならないのである。全般統制は、その基本として、ITの基盤となるサーバ、ネットワークといったITインフラが、正しく構築され、運用されているかどうかを統制するものである

　すでにITILの構築と運用プロセスの改善に取り組んでいる企業は、この運用プロセスを可視化することで、業務の効率化と品質の向上を目標にしている。日本版SOX法は、その目標をITプロセスを保証するシステムの正確性および信頼性におくため、ITILによってもたらされる結果は日本版SOX法遵守の成果として位置づけることも可能である。問題情報の共有やインシデントの根本原因を追究する「問題管理」、ITサービスと事業戦略の整合性をとることでサービスの維持および向上をはかる「サービスレベル管理」、ユーザーに対するアイテム内容やアイテム構成、ITインフラ、ITサービスを管理する「構成管理」、ビジネス目標の達成に見合った高い費用対効果の可用性を維持するために、インフラ能力のサポート組織への適合化を担う「可用性管理」など、日本版SOX法に対応するITIL主要管理項目は、そのままITインフラが、正しく構築・運用されているかを管理する全般統制につきあわせることも可能である。

　ITILが目標とする「運用の可視化」は、そのまま企業活動をガラス張りにする意味で、内部統制およびIT統制の目的と一致するのである。すでにITILを導入した企業または導入予定の企業は運用項目の見直しが必要になるが、ITIL全体の流れの中で日本版SOX法に対処することは十分に可能である。