対象企業は3700社

あと1年、日本版SOX法関連をまとめた

2007/03/30

 財務報告の適正性を保つために上場企業に対して内部統制の整備を義務付ける金融商品取引法(いわゆる日本版SOX法)の適用があと1年に迫った。2008年4月1日以降の事業年度から、上場企業は財務諸表の適正性を確保するための体制について評価した「内部統制報告書」を作成、提出し、監査法人の監査証明を受けなければならない。上場企業約3700社が対応を迫られる。対応に最低限必要と思われる情報をまとめた。

 まずは金融庁がまとめた日本版SOX法関係の文書を確認したい。これらの文書は日本版SOX法に対応するための基本的な教科書になる。

教科書となる「実施基準」

 メーンは金融庁の企業会計審議会が2月15日に公表した「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」だ。企業会計審議会の内部統制部会が2年に渡って議論してきた内容を盛り込んだ文書で、企業における内部統制整備の「基準」と、内部統制を整備する上でのガイドラインとなる「実施基準」が主な内容だ。

 「基準」は内部統制の枠組みや基本的な考え方を記載。「実施基準」は内部統制に取り組む企業と、内部統制を監査する公認会計士、監査法人の両方へのガイドライン。内部統制でキモになるとされる「文書化3点セット」(業務記述書、業務フロー図、リスクコントロールマトリクス)の例示もあり、「凡百の日本版SOX法参考書よりも参考になる」との声もある。企業はまずこの意見書を読み込むことから始めるのがいいだろう。

「ITへの対応」は「IT統制ガイダンス」参照

 意見書で弱いのはITに関する項目だ。日本版SOX法は内部統制の基本的枠組みの6項目の1つに「ITへの対応」を挙げている。日本版SOX法も参考にした「COSOフレームワーク」にはITについての項目はないが、「IT環境の飛躍的進展により、ITが組織に浸透した現状に即して」(意見書)、この項目を追加した。だが、意見書でのIT統制についての項目は、そのままではIT運用の現場に適用することは難しいだろう。IT統制の仕組みは理解できても、個別の運用に対するアドバイスが少ないからだ。

 内部統制整備を迫られる企業のIT部門にとって参考になるのは、経済産業省が3月30日に公表した「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」だ。IT統制の概要や経営者の評価法、導入ガイダンス、ロードマップなどを例を示して解説する文書で、IT統制の整備について、そのまま利用できる点も多い。エンドユーザーコンピューティングのリスクについて言及するなど、ITの実運用に即している。内部統制整備で多くの作業が必要になるとされる文書化についても、50ページの例を示して解説。企業によってはテンプレートとしても使うことができるだろう。

“先輩企業”日立グループに学ぶ

 これから内部統制整備を進める企業は、米国上場などで内部統制整備をすでに行った“先輩企業”の事例が参考になる。@ITはこれまで巨大グループの内部統制整備を行った日立製作所の事例「社員35万人、子会社900社の日立グループは内部統制をこう整備した」や、米国上場の日本企業の監査を担当した米KPMG担当者のアドバイス「KPMGの日本企業担当監査人、SOX法対応の実際を語る」、企業のIT統制を支援するコンサルタントの声を紹介した「日本版SOX法で企業が悩む、5つのこと」などを掲載している。

 日本版SOX法は約3700社の上場企業だけでなく、そのグループ会社や業務委託先まで関係してくる裾野が広い規制だ。関係する企業数は10万社程度とも言われる。内部統制整備では、公認会計士やコンサルタントが企業を支援するケースが多いが、「とてもそれだけの企業の内部統制を整備できる公認会計士、コンサルタントはいない」(アビーム コンサルティングのEBS事業部 プリンシパルの永井孝一郎氏)といい、人手不足が表面化している。

社内人材の育成が急務

 日本版SOX法をまとめ上げた金融庁の企業会計審議会 内部統制部会長の八田進二氏(青山学院大学大学院 会計プロフェッション研究科教授)は、「これから内部統制整備が始まる3700の上場企業に対して、監査業界やコンサルティング業界、IT業界が(すべての上場企業に)同じマンパワーでサービスを提供できるかというと無理。(企業にとって)必要なのは、いまあるリソースで最大の対応をし、人材の育成、知識の吸収をすることだ」と強調している。

(@IT 垣内郁栄)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -