SOX法 †
【内部統制】*1
内部統制は、業務手順や社内体制といった組織内部の細かな仕組みにまで踏み込んで、
不正が起きないように規律を働かせること。
(発端)
2001年から2002年にかけて米国でエンロンやワールドコムといった大企業の不正会計事件が
相次いで発覚した。
再発を防ぐため,2002年に企業改革法(SOX法=サーベンス・オクスリー法)が成立し、
内部統制を整備する義務,開示情報に対する責任を経営者に負わせた。
虚偽があった場合には最長20年の禁固刑など厳しい処罰を受ける。
(日本での動き)
金融庁が証券取引法を改正し,「日本版SOX法」を施行する方針を表明。
2008年3月期決算から,内部統制の整備と公認会計士による監査を義務付ける可能性が大きい。
4000社近い上場企業に加え,その関連会社も内部統制を整備する必要があり,
株式公開を目指す上場予備軍も対応しなければならない。
幸い日本版SOX法では,業界ごとに不正が生じやすい項目・範囲を決め、
その部分を重点的にチェックする規則になると見られ、米国ほど基準は厳しくない。
しかし、それでも米国企業よりも短期間で対応できるとは言い切れない。
業務手続きの可視化という点にかけては、日本企業に比べて米国企業は一日の長があった。
日本版SOX法ではチェックする項目・範囲は狭くなるとはいえ、かなりの作業を伴う可能性も少なくない。
日本版SOX法への準備は,業務の可視化だけではない。
内部統制を整備するには,ITの利用が不可欠である。
金融庁が発表した日本版SOX法の草案では,内部統制の基本的な要素としてITの利用を挙げている。
さまざまな業務に関して,不正な手順に基づいて遂行されていないかどうかは,
ITを使用しないでチェックすることは不可能だ。
また,IT化することで手続きの証拠を残すことができ,それによって不正な行動を
抑止・抑制することができたり,内部統制が有効に機能しているかどうか継続的に評価することができる。
このように,ITは内部統制の整備の根幹をなしているだけに,情報システムの開発・運用が
一定の手順に沿って実行されているかどうかを確認することも重要になる。
セキュリティ管理や外部委託管理など,情報システムを運用するためのプロセスも内部統制の対象になる。
悪意ある人物が情報システムにアクセスしてデータを書き換えられるようでは、統制が機能しているとは言い難い。
一時期に比べると差は縮まったといわれるが,業務の可視化やITの活用という点で
日本企業はいまだに米国企業に遅れをとっている。
製造業に至っては,業務の7割がIT化されていないといわれている。
【IT統制ガイダンス】*2
内部統制の仕組みの構築において、ITの利用はあくまでも手段の1つであるため、
具体的な作業内容や詳細な例示の記述はわずかである。
そこで経産省は、企業が内部統制の仕組み構築においてITを利用して行うための指南書として
「IT統制ガイダンス」を作成した。
経産省が作成した「IT統制ガイダンス」とは、金融庁が進めている日本版SOX法対応のガイドライン「実施基準」に対して、
「ITへの対応」の主なケースを想定し、IT統制に関する概念や経営者評価、導入ガイダンスなどを示したもの。
「IT統制ガイダンス」の内容は約150ページにも及ぶ詳細なものなので、IT担当者向けの指南書としては、
非常に有効な資料であると考えられる。
しかし、IT統制への対応について「実施基準(ガイドライン)」がIT担当者の個々の
作業内容まで言及しているわけではないので、一般的にはいくつかのIT統制の枠組みを参考にして
作業を進める必要がある。
日本版SOX法は、「ITへの対応」を明確にうたっている。
これは、上場企業の内部統制の仕組み構築や、その運用を最適化する手段として
ITの利用を重視しているが、ITの利用はあくまでも対応の手段であり、
ITの利用が日本版SOX法対応を保証するものではない。
しかし、ITの利用は企業の内部統制の仕組みを構築し、これを効率良く運用するための手段として、
有効な手段であることは疑いようがない。
IT統制ガイダンスは、こうした作業を進めるための実務指南書として
IT担当者が身近に参考にできるノウハウ集であり、道標である。