企業に大激震? 日本版SOX法がやってくる

2005/8/18

 企業の内部統制の強化を目的に、公認会計士が上場企業のガバナンスを監査する新ルールが2008年3月期にも導入されることになった。米国で2002年に成立した企業改革法(サーベンス・オクスレー法:SOX法)と同様に企業に対して適正な企業統治を求める内容で、新ルールは「日本版SOX法」ともいわれている。企業経営に不可欠となった情報システムをどう適正に運用するかという「IT統制」が盛り込まれたのが特徴。多くの企業は今後、日本版SOX法への対応を迫られる。

 日本版SOX法の草案は7月13日、金融庁の企業会計審議会 内部統制部会が発表した(金融庁のWebサイト)。8月末までパブリックコメントを募集し、ガイドラインを作成する方針。

 日本版SOX法は、内部統制の状況を企業経営者が確認、評価し、その適正性を会計士が監査する2重チェック。内部統制の構成要素は6つ。企業内のすべての統制活動のベースとなる「統制環境」、目標の達成に影響を与えるすべてのリスクを識別、分析、評価し、リスクに対応する「リスクの評価と対応」、経営者の命令、指示が適切に実行されることを確保するための方針、手続きの「統制活動」、必要な情報が組織や関係者に適切に伝えられることを確保する「情報と伝達」、内部統制の有効性を継続的に監視、評価するプロセスである「モニタリング」(管理活動)、内部統制の基本的要素が有効、効率的に機能するために情報システムの適正性などを保つ「ITの利用」(IT統制)となる。

 企業の経営者はこれら6つの構成要素に基づき、内部統制が適正に運用されているか評価し、外部に対して「内部統制報告書」として示す。会計士はさらに内部統制の適正性を外部からチェックする「内部統制監査報告書」を作成する。

ベリングポイントのマネージング ディレクターで公認会計士の野村直秀氏

 ベリングポイントのマネージング ディレクターで公認会計士の野村直秀氏は「ほぼ米国と同様の規制だが、IT統制は米国にはない」と説明する。野村氏は、「データの統合性確保など、IT抜きではもはや内部統制が不可能になっている実態が背景にある」と分析し、「ITがビジネスの中で占める割り合いが大きくなり、ITを高度に活用する企業も多い。そのためリスクも出てくる」と、IT統制の重要性を強調した。

 日本版SOX法の草案は、IT統制について「組織目標を達成するため組織の管理が及ぶ範囲において、IT環境に対応した情報システムに関連する内部統制を整備及び運用すること」と定義。そのうえで、ITを利用した内部統制は「全般統制」と「業務処理統制」の2つがあるとしている。全般統制は、ITを使った業務処理が適正に運用されているかを統制すること。ハードウェアやソフトウェア、ネットワーク、アプリケーションなどの「企画から開発、運用までの品質が一定レベルになるよう、チェックリストが確立され、運用されているかが問われる」(野村氏)。草案では全般統制の例として、「企業内全体にわたる情報処理システムが財務報告に係るデータを適切に収集し処理するプロセスになっていることを確保すること」などを挙げている。

 また、業務処理統制は各アプリケーションで承認された取引がすべて正確に処理され、記録されることを確保するための統制。ベリングポイントでは「それぞれのアプリケーション、システムが企画、設計どおりに開発され、運用されているかを確保すること」としている。草案では「各業務領域において利用されるコンピュータなどのデータが適切に収集、処理され、財務報告に反映されるプロセスになっていることを確保すること」と例を挙げている。

 野村氏は「システムに“統制”の視点が十分に組み込まれていない場合が少なくない」としていて、IT統制では「業務処理統制」「モニタリング機能」「セキュリティ機能」「システム可用性」の4つのポイントを再点検する必要があると説明した。「業務処理統制」は、アプリケーションへの入力ミスを軽減するけた数のチェックや値の妥当性をチェックする機能、「モニタリング機能」は業務プロセスが設計どおりに実施されていることを確認できたり、経営者に対して意思決定に必要な情報を提供、アラートを表示することを指す。「セキュリティ機能」はアクセス権限の設定やコンピュータ・ウイルス、不正アクセスの防止策、「システム可用性」はシステムダウンやパフォーマンスの低下が起きないように監視する機能になる。

 コンサルティングファームは日本版SOX法のスタートをにらんで、企業の内部統制強化を支援するサービスを相次ぎ開始している。ベリングポイントは、業務とITの両面から内部統制強化を支援する「内部/IT統制改革サービス」を7月14日に開始した。内部統制の強化を、方針決定からリスク分析、文書化、運用テスト、課題の改善、監査法人のレビューと、各フェイズに分けて対応する。何から始めればよいか分からない企業を対象に、内部統制のレベルの判定と今後の対応のロードマップを2週間程度で示す「クイックスキャンサービス」も提供する。クイックスキャンサービスの価格は500万円から。

 ベリングポイントは、「内部統制の基本」と位置付ける文書化の支援も行う。日本版SOX法など法律で要求される文書化や、連結ベースでの決算の適正開示を目的とする体系的、統合的な文書化を支援し、プロセスマップ、リスクコントロールマトリックス、手続書、手続結果報告書など「内部統制の記述書」を成果物とする。「業務、リスクなどを整理・明文化し、第三者からでも企業の状況を把握し、改善の検討を行うことを目的とする」(ベリングポイント マネージング ディレクター 新井聡氏)

 ベリングポイントは内部/IT統制改革サービスの提供に合わせて社内に「内部/IT統制改革本部」を80人体制で立ち上げた。今後1年で300人まで拡充する方針。「グローバル展開する国内大手企業の多くをSOX法対応で支援した経験がある。その経験を日本版SOX法でも利用してもらいたい」(野村氏)としている。

(@IT 垣内郁栄)

[関連リンク]
ベリングポイントの発表資料
手早く分かる「日本版SOX法ポータル」開設

[関連記事]
IDSシェアーがパートナー組織、BPMの大ブレークに備える (@ITNews)
CPM(企業パフォーマンス管理)が注目を集める理由 (@ITNews)
BPM、内部統制、そしてCIOの役割をつなぐものとは? (@ITNews)
企業内文書の統制管理・監査ニーズ拡大、イキソス (@ITNews)

情報をお寄せください:


@IT Special

- PR -

TechTargetジャパン

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

TechTargetジャパン