[Analysis]
「日本版SOX法」とはもう呼ばないで!?
2007/05/14
日本における外来語の利用は、意味をぼかしたり抽象化したりして受け入れやすくする効果があることが知られている。しかしあいまいさはコミュニケーション上の誤解を生み出すこともある。IT業界は外来語の宝庫であり、しかも独自の解釈が横行するのでたちが悪い。
「日本版SOX法」はIT業界用語ではないが、特にIT業界はこの言葉を都合のいいように解釈して製品やサービスの拡販に結び付けたがる傾向が強い。セキュリティからサーバ、ストレージ、管理など、ありとあらゆる製品やサービスのベンダが「日本版SOX法では……」「日本版SOX法などの内部統制ニーズが……」との前置きで売り込みに精を出している。
しかし具体的に「日本版SOX法」に該当するのは「金融商品取引法」の一部条項であり、その内容を具体的に示したもの(いわゆる「実施基準」)は「財務報告に係る内部統制の評価及び監査の基準」「財務報告に係る内部統制の評価及び監査に関する実施基準」だ。「財務報告に係る……」という明確な限定があるのであり、全社的なITの可用性やセキュリティが監査の対象になるかのようなイメージを作り出そうとするのは明らかに行き過ぎだ。
企業会計審議会 内部統制部会会長の青山学院大学大学院教授 八田進二氏は最近の講演で、実施基準は米国のSOX法やCOSO報告書を参考にしているが、米国における基準があまりにも複雑化・煩雑化したことなどの反省を踏まえて、日本独自に設定したと強調している。つまり、企業が日本版SOX法に対応する際に、米国のCOSO報告書などを参考書として利用しても良いが、あくまでも教科書は実施基準だということを意味している。例えば、実施基準は内部統制の主な要素に「ITへの対応」を加えているが、COSO報告書で使われている「構成要素」という言葉を「基本的要素」へと巧みに置き換え、「これらの要素は例示であることを明確にした」としている。
実施基準が説明する内部統制監査は、まず内部でチェックを行い、経営者がこれを承認して報告し、外部監査人はこの報告を評価するとともに、必要な場合には検証するという形をとっている。しかし、いずれにしても、内部統制評価の対象として含まれる活動については確実な実行と検証が求められることになる。このことから、検証作業が膨大になることを避けるためには、内部統制評価の対象をできるだけ絞り込むことが重要になる。
実施基準ではITに関し、内部統制を効率化・有効化するための「ITの利用」、業務システムにおける情報の正確な取り扱いを確保するための「ITに係る業務処理統制」、業務処理統制の有効性を確保するための「ITに係る全般統制」を挙げているが、全般統制については全社的なセキュリティやIT管理の仕組みをつくることよりも、システムの開発から運用管理までの手順および承認プロセスを明確化することのほうが、はるかに優先順位が高いはずだ。
全社的なセキュリティやIT管理が不要だというわけではない。これらについては、それぞれの企業の現在置かれている状況や事情に応じ、「財務に係る……」とは別の動機や目的達成と併せた取り組みとして考えるのが正しいはずだ。
情報をお寄せください:
最新記事
 |
|
|
|
|
