トレンド解説（15）

迫り来る日本版SOX法、IT統制の準備はOK？

垣内 郁栄
2005/10/8

金融庁草案に加えられた「IT統制」

　企業会計審議会草案では、COSOフレームワークの5つの構成要素のほかに「ITの利用」が加えられている。ITの利用について草案は「組織目標を達成するため組織の管理が及ぶ範囲において、IT環境に対応した情報システムに関連する内部統制を整備及び運用すること」と定義している。ITを利用した内部統制＝IT統制は、COSOフレームワークでは個々の構成要素に盛り込まれた形になっており、直接的には触れられていない。ベリングポイントのマネージングディレクターで公認会計士の野村直秀氏は、草案にIT統制が加えられた理由を「データの統合性確保など、IT抜きではもはや内部統制が不可能になっている実態が背景にある」と分析し、「ITがビジネスの中で占める割合が大きくなり、ITを高度に活用する企業も多い。そのためのリスクも出てくる」とみている。

　IT統制をさらに見ると「全般統制」と「業務処理統制」の2つに分けられる。全般統制は「ITの導入、開発、運用までにプランニング、セキュリティ、システムの変更管理など業務処理プロセスを支える仕組み」（日本オラクル アプリケーション事業推進本部 川腰晃夫氏）。業務処理統制は「ビジネスフローの中で起こり得るリスクへの統制」（同氏）となる。

　同草案のIT統制の部分は、ISO/IEC 17799（BS 7799-1）や米国システムコントロール協会のCOBIT、経済産業省が2004年10月に発表した「システム管理基準」「システム監査基準」、米国公認会計協会やカナダ勅許会計協会のIT統制基準などを参照しているとみられる。IT統制に関するトレーニングコースを提供しているSAPジャパンも草案の発表を受けて、「システム管理基準」に合致するようコースを整備し直したという。

	リンク
		新「システム監査基準」、「システム管理基準」の公表について（経済産業省）

　企業会計審議会の草案では、これらの構成要素に基づき、内部統制が適正に構築・運用されているかを経営者が評価し、外部に対して「内部統制報告書」として示す。監査人はこの経営者評価の適正性をチェックする「内部統制監査報告書」を作成するプロセスを想定している。このプロセスを回すことで、適正な業務、適正な財務報告、コンプライアンス、資産の保全という内部統制の4つの目的を継続的に達成していく。

ITが内部統制システムをサポートする

　内部統制、IT統制の確立でポイントになるのが文書化の作業といわれる。文書化とは、社内の業務プロセスを標準化し、文書にまとめる作業を指す。企業がある決定を行ったり、財務諸表のある数値を決定する際に、その決定を行うまでの社内外の手順を文書化、実際のプロセス処理結果を文書として残すことも意味する。また、内外の環境が変化してプロセスを変えた場合も、文書にも反映させて、社内に周知徹底する必要がある。

　文書化は内部統制の基本であり、また最もコストが掛かる作業であるといわれている。米国SOX法の場合は、企業が文書化に平均5億円掛けたともいわれる。SOX法対応の予算のうち、文書化などのサービス、コンサルティングの予算が全体の8割を占めたという。

　内部統制への対応をスムーズに進めるには、ERPなど業界標準のベストプラクティスを埋め込んだITシステムの導入が有効だ。ERPの導入では、社内の業務プロセスを整理し、標準化するのが基本。業務プロセスが標準化されていれば、文書化の作業も進めやすくなる。

　内部統制に対応したリスク管理機能をERPに埋め込むケースも増えてきた。日本オラクルはERPパッケージ「Oracle E-Business Suite」（EBS）のモジュールとして、内部統制を文書化して遵守の進行状況をモニターできる「Internal Controls Manager」（ICM）を2004年10月に国内でリリースしている。ERP上の業務プロセスに内部統制を組み込むことができ、漏れのないチェック機能を提供できる。ERP以外にもストレージや文書管理システム、認証管理システム、eラーニングなど内部統制の導入に役立つITシステムはあり、周辺ビジネスが拡大すると予想される。

　日本オラクルによると、米国SOX法対応した企業の多くは対応整備に平均8〜12カ月以上の期間をかけたという。日本版SOX法が2008年3月期に導入されるとすると、企業は2006年4月にも日本版SOX法への準備を開始する必要があることになる。

	参考リンク
		IT Control Objectives for Sarbanes-Oxley（米国ITガバナンス協会）

	関連記事
		【ITガバナンスの観点を取り入れた監査・管理の新基準】特別企画：「新・システム監査基準」解説（＠IT情報マネジメント > 企業システム構築）
		BPMで考慮すべきコンプライアンス対応とは？】一問一答式：BPM実践テクニック（6）（＠IT情報マネジメント > 情報化戦略・投資）
		企業に大激震？ 日本版SOX法がやってくる（＠IT News）
		「日本版SOX法は7カ月以内に対応開始を」、オラクルが強調（＠IT News）
		「そもそも日本版SOX法って？」、SAPがセミナー開催に好感触（＠IT News）

2/2

第16回へ

Index トレンド解説（15） 　迫り来る日本版SOX法、IT統制の準備はOK？

Page 1 すでに動き始めている日本版SOX法 内部統制の基本「COSOフレームワーク」とは？ Page 2 金融庁草案に加えられた「IT統制」 ITが内部統制システムをサポートする

■要約 日本版SOX法への注目が高まっている。これは、米国のSOX法（サーベンス・オクスリー法）の流れに沿って、会計不祥事を防ぐために導入が検討されている各種の法規制。 特に注目されているのが、証券取引法を改正して内部統制の有効性を公認会計士が検証する仕組みを検討中の金融庁の動きで、2008年3月期からの導入を見込んでいるという。7月13日にはこの内部統制の評価・検証を行う際の方法・手続きを示す「基準」の草案が発表されている。 基準草案の背景には、米国SOX法でも前提となっている内部統制の枠組み「COSOフレームワーク」がある。COSOフレームワークでは内部統制を「プロセス」と定義しており、「企業の存在目的は社会に貢献し、社会的に評判を得ることだ」という。 また同草案では、COSOフレームワークの5つの構成要素のほかに「ITの利用」が加えられている。これはIT抜きではもはや内部統制が不可能になっている実態が背景にあるとみられる。 内部統制、IT統制の確立でポイントになるのが文書化の作業だ。米国SOX法の場合は、企業が文書化に平均5億円掛けたともいわれる。内部統制への対応をスムーズに進めるには、ERPなど業界標準のベストプラクティスを埋め込んだITシステムの導入が有効だ。

▲記事の先頭<Page1>に戻る

「情報マネジメント トレンド解説」

■記事の「要約」がメールで読めます■ 記事の「要約」を毎週水曜日にメールでお届けしています。 下の「＠IT情報マネジメント メールマガジン」からお申し込みください。 サンプルを見る

＠IT情報マネジメント メールマガジン　情報マネージャのための情報源（無料）