この連載では、これまでに米国SOX法や日本版SOX法などについての概要を説明してきた。今回は、日本版SOX法へ対応するために内部統制を実施する際の注意点などを紹介する。
前回までに、基礎知識としての米国SOX法や日本版SOX法、COSOフレームワーク、COBITの概要を簡単に説明してきました。今回は、「日本版SOX法への対応として内部統制を実施するに当たり、何をすべきなのか?」を説明します。
日本版SOX法の公開草案には以下のように書かれています。
3.財務報告にかかる内部統制の評価の方法
(1)経営者による内部統制評価
経営者は、有効な内部統制の整備及び運用の責任を負う者として、財務報告に係る内部統制を評価する。経営者は、内部統制の評価に当たって、連結ベースでの財務報告全体に重要な影響を及ぼす内部統制(以下「全社的な内部統制」という。)の評価を行った上で、その結果を踏まえて、業務プロセスに組み込まれ一体となって遂行される内部統制(以下「業務プロセスに係る内部統制」という。)を評価しなければならない。
(以下略)
(2)全社的な内部統制の評価
(本文略)
(3)業務プロセスに係る内部統制の評価
(本文略)
……
「財務報告にかかる内部統制の評価及び監査の基準(公開草案)より抜粋」
このように、会社全体に対しての内部統制(「全社的な内部統制」)と、財務報告に深く関連する業務に対する内部統制(「業務プロセスに係る内部統制」)の2つを考える必要があります。また、同時に監査もこの2つを監査することになります。
「全社的な内部統制」は、日本版COSOのフレームワークに従って、会社全体を対象として、内部統制の基本的要素である「統制環境」「リスクの評価と対応」「統制活動」「モニタリング」「ITへの対応」のそれぞれの要素が、「全社レベルでどのように実施されているのか?」を見ます。
従って、その中にはITの活動以外のこと、特に全社的なリスク管理やモニタリング業務といった業務プロセス、ドキュメントの整備状況、各種教育の実施状況、組織体系なども含まれてきます。また、ITサービス全体についての統制をどのように行っているのか、ひいては全体的な方針や共通的な活動、全体を管理する活動などを見ていくことになります。
「業務プロセスに係る内部統制」については、財務諸表と関係が深いと判断される業務プロセスについて、リスクの識別とリスクへの対応を見ることで、その業務プロセスに対しての保証と説明責任を検討していくことになります。また、業務プロセスにおいて利用されているシステムについても、その入力・処理・出力の保証と説明責任を検討していきます。
このように、日本版SOX法への対応で、ITは大きくかつ重要な部分を担うことになることは確かですが、それはあくまで全体の活動や業務プロセスの中で語られる部分なのです。従って、財務報告についての全体の活動や業務プロセスの定義などをきちんと行うこと、つまり、ITを誰が何の目的でどのように使うのかをはっきりさせることが、日本版SOX対応への最初のステップになります。
では、「全社的な内部統制」と「業務プロセスに係る内部統制」のそれぞれにおいて、IT(IT部門)は具体的に何をしていけばよいのでしょうか?
日本版SOX法は今後施行されていくものであり、「具体的に何をしなさい」といった基準となる文書は出ていないため、現時点ではすでに法律が施行されている米国の状況を参考にします。
2004年4月にCOBITを発表したITガバナンス協会が、「IT Control Objectives for Sarbanes-Oxley(PDF)」という文書を発表しています(COBIT 3rd Ed.を使用)。
この文書では、企業においてITが果たす役割を下図のようにモデル化しています。
この図においてはITが果たす役割を3つに分けています。
この3つの中で「全社的な内部統制」のITの活動として位置付けられるのが、「IT統制環境」になります。また、「業務プロセスに係る内部統制」として位置付けられるのが、「アプリケーション統制」と「IT全般統制」になります。
「IT統制環境」はIT部門全体にかかわる統制活動と考えられます。その中にはIT戦略、全体アーキテクチャ、人的資源、リスク管理、モニタリングなど、ITサービス全体に関係する活動が含まれます。具体的には以下の活動が含まれると定義されています。
ドメイン | COBIT領域(COBIT 3rd Ed.) | ||
---|---|---|---|
PO | 計画と組織 | PO1 | IT戦略計画の策定 |
PO2 | 情報アーキテクチャ | ||
PO4 | IT組織とそのかかわり | ||
PO6 | マネジメントの意図と指針の周知 | ||
PO7 | 人的資源の管理 | ||
PO8 | 外部要件事項の順守 | ||
PO9 | リスク評価 | ||
P11 | 品質管理 | ||
DS | サービス提供とサポート | DS3 | 成果とキャパシティの管理 |
DS7 | 利用者の教育と研修 | ||
DS12 | 設備管理 | ||
M | モニタリング | M1 | モニタリング |
M2 | 内部統制の十分性 | ||
M3 | 独立した第三者の保証 | ||
M4 | 内部監査 | ||
従って、IT統制環境については、これらの活動が自社内でどのようになっているかをチェックしていくことが必要になります。
Copyright © ITmedia, Inc. All Rights Reserved.