日米SOX法や内部統制とITの関係を理解しよう!:セキュリティツールで作る内部統制(1)(2/3 ページ)
日本版SOX法とは〜ライブドア問題はどう影響するか?
2005年7月に金融庁が「財務報告に係る内部統制の評価及び監査の基準(公開草案)」を公開し、2005年12月には「基準案」が公開されました。最初に触れたとおり、すでにこれらを含む「金融商品取引法案」が閣議決定されており、国会で成立した後、2008年4月(2009年3月期)から施行される見込みです。
「金融商品取引法案」自体は、証券取引法を中心に複数の金融関連法を統合したもので、その中の1つに12月に公開された基準案が含まれています。
さて、この基準案ですが、目的や対象、義務といったものは、大筋で米国SOX法と変わりません。また、内部統制の基準についても米国SOX法404条に非常によく似ているため、「日本版SOX法」と呼ばれているわけです。
ただし、大きく異なるところもあります。例えば、内部統制の基本的な枠組みを提示していることや内部統制の基準が設定されていること、監査人による直接報告義務(ダイレクト・レポーティング)を不採用としていること、などが挙げられます。また、罰則については「基準案」には盛り込まれていないのですが、証券取引法の罰則の改定により、現在の「懲役5年以下、または個人は500万円、法人は5億円以下の罰金」から、「懲役10年以下、または個人は1000万円、法人は7億円以下の罰金」という厳しいものに変更されました。
米国では、米国SOX法の対応における企業側の負担が大き過ぎることが問題となったことから、日本で同じような基準とすると企業側の負担は米国よりもさらに大きくなることが予想されており、「基準を緩くするのではないか?」という見方もありました。ところが、そこにライブドア事件や証券会社による株の誤発注問題、保険金の不払いなど不祥事が立て続けに起きたことによって、基準を緩くするという選択肢はなくなり、「基準は厳しいままで適用開始を1年遅らせ、企業側の準備期間を長く取る」ことになったようです。
COSOフレームワーク〜内部統制の枠組みのデファクト・スタンダード
米国SOX法、日本版SOX法いずれも上場企業に内部統制の実施を義務付けていますが、これらはトップの掛け声だけでできるものではありません。では、どのようにすれば内部統制が実現できるのでしょうか? その1つが「COSOフレームワーク」です。日本版SOX法は「内部統制の基本的な枠組みを提示している」と書きましたが、これが、いわゆる米国の「COSOフレームワーク」をベースとした「日本版COSO」となります。
「COSOフレームワーク」は、米国のトレッドウェイ委員会組織委員会(COSO:the Committee of Sponsoring Organization of the Treadway Commission)がエンロン・ショックよりも前の1992年に発表したものです。実は1970年代、80年代にも粉飾決算や経営破たんが問題になった時期があり、公認会計士協会が会計監査の延長線として内部統制の必要性を訴えたのです。つまり、SOX法が施行される前から、企業における内部統制の必要性はいわれて続けていたのですが、エンロン・ショックの影響でそれが法制化・義務化されたというわけです。
逆にいえば、内部統制は法制化されたから実施するものではなく、企業としては当然行うべきことなのです。また、COSOフレームワークは、企業全体の活動を対象としているため、企業統治(コーポレート・ガバナンス)のためのフレームワークとも認識されています。
米国のCOSOフレームワークは、COSOキューブと呼ばれる図で示されます(以下の図参照)。
COSO、日本版COSOのフレームワーク
まず、キューブの上面に当たるのが「内部統制の目的」(=何のために行うのか?)であり、以下の3つを定義しています。
- 業務の有効性および効率性(業務目的に沿った業務になっているか?)
- 財務報告の信頼性(財務報告が間違っていたり、虚偽報告をしていないか?)
- 法令などの順守(一般法や業界の法律などを守っているか?)
そして、この目的を達成するための5つの「基本的要素」を前面に定義しています。
- 統制環境
一般的に社風や組織の基本理念といわれるもの。基本理念や事業活動方針、コンプライアンス宣言といったものを策定している企業もある。情報セキュリティでいえば、最上位のセキュリティ・ポリシーに相当。 - リスク評価と対応
リスク=誰か(もしくは何か)が何らかの不正をする可能性を認識し、それらのリスクに対する対応策を考えること。 - 統制活動
リスクに対する対応策を経営陣から一般社員まで各レベルで確実に実行すること。 - 情報と伝達
統制活動を実行する担当者が正しく統制活動を行えるように、マニュアルを作成したり(必要な情報の作成)、マニュアルをいつでもすぐに参照できるようにしたり、業務に必要な教育(伝達)をすること。 - モニタリング
活動をやりっぱなしにするのではなく、不正が発生していないか、きちんとチェックすること。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。