日本版SOX法はIT部門にとって脅威か機会か？：システム部門Q＆A（34）（1/3 ページ）

6月にいわゆる「日本版SOX法」が成立した。IT部門に大きな負担が掛かりそうだといわれているが、逆に懸案事項の抜本的解決の機会だととらえることもできる。今回は日本版SOX法を、IT部門への脅威と機会の両面から考える。

日本版SOX法の概要

本年6月に金融商品取引法（以下、本法律）が成立し、その中で財務に関する内部統制が定められました。

　従来の会計監査でも、財務報告が正確であることを公認会計士や監査法人（以下、監査法人）が保証していましたが、正確であることの評価プロセスは発表されませんでした。また、不正や誤りが起こらないように、監査部門や現場部門での統制が行われてきましたが、あくまでも任意の内部統制ですので、内部統制の仕方や結果に関して公表する必要はありませんでした。

　これでは財務報告の信頼性が不十分ですので、経営者は財務計算に関する書類そのほかの情報の適正性を確保するために必要な体制を評価した内部統制報告書を作成し、監査法人の監査証明を受けて提出することが義務付けられたのです。

　ですから、内部統制報告書は監査法人が納得するものでなければなりません。ところが、その内部統制の構築、評価、監査のガイドラインとなる実施基準の公開が遅れに遅れ、いまだに示されていませんので、金融庁の「財務報告に係る内部統制の評価及び監査の基準案」（以下、基準案）がよりどころとなります。

　本法律や基準案の説明は多くのサイトで説明されていますので、ここでは、IT部門に関する事項について、私の主観的な意見を掲げます。

内部統制にITは不可欠だ

文書作成のツールとしてITが不可欠になる

　よくいわれているように、内部統制の体系を作成するには、多くの文書化が必要になります。特に重要なのが、リスクコントロールマトリクスの作成と維持運営です。主なものだけでも、

• 業務プロセスフローを作成し、それに伴うリスクを列挙
• 各リスクと財務諸表の信頼性確保要件との関係
• 各リスクを防ぐ手段（コントロール）の列挙
• 各コントロールのポイント、タイプの区分
• 各コントロールを行う頻度、担当者、規定類、確認書類

　などを可視化して整備すること、その実施状況を記録することが必要になります。

　これらの列挙項目に抜けがないか、相互の関連で矛盾がないか、運営でのログをどう記録するか、さらにこれらの参照を容易にするにはどうするかなどを考えると、単に表計算ソフトを用いて整理するのでは無理があり、専用のツールが必要になります。そのためのツールも市販されていますが、実際に使いやすくするためには、いろいろな工夫が必要になります。

　いずれにせよ、非常に大量の文書化が必要だといわれています。しかも、情報システムだけでなく、業務に詳しい人が多数参加しないと、リスクの列挙やコントロールの方法を示すことができません。このために、IT部門にはかなりの負荷が掛かり、当面はほかの業務に掛かれない状態になることが予想されます。

情報システム化している業務は内部統制がしやすい

　業務を情報システム化することにより、内部統制がしやすくなります。ですから、本法律への対処を機会に、これまでに手作業や個人的に表計算ソフトなどで行っていた業務を情報システム化することが望まれます。

・業務ルールとしての情報システム

　情報システムは業務の仕方をルール化したものです。例えば、入出金をしたときは、それらのデータを情報システムで決められた手段で入力することが義務付けられます。情報システム化した分野では、業務規程などで決めた規則よりも順守の強制力が高くなります。

・統制ツールとしての情報システム

　手作業で処理している場合は、全数検査をすることが困難なのでサンプリングでの検査になりますが、情報システムになっていれば、全数検査をすることも可能です。また、販売での売上データは会計での売掛金データとなるように、データの信頼性を検査するには多部門にわたる作業が必要になりますが、情報システムではデータの受け渡しが一貫した方法で自動的に行われるので、データのトレーサビリティを把握することが容易になります。それで、ルールに順守していることを検証しやすく信頼性の保証がしやすくなります。