評価と遅れを心配する声

日本版SOX法 実施基準案が公表、正式決定は1月か

2006/11/06

 金融庁は11月6日、企業会計審議会の内部統制部会を開き、日本版SOX法(金融商品取引法の一部)の実施基準案を公開した。ITについてはCOBITなど一般的なフレームを踏襲した内容がメーン。ITに関しては数値を記載して厳格な対応を求めることはせず、企業の主体性に任せる考えだ。

jsox01.jpg 金融庁が入る東京・霞ヶ関の中央合同庁舎4号館

 実施基準案は「内部統制の基本的枠組み」「財務報告に係る内部統制の評価および報告」「財務報告に係る内部統制の監査」の3文書からなる。内部統制部会で審議し、パブリックコメントにかける方針。正式決定は来年1月にずれ込む可能性がある。

 ITに関して「内部統制の基本的枠組み」では「IT環境への対応」と「ITの利用および統制」に分けて説明。IT環境への対応では「業務実施する過程において組織内外のITに対し適切に対応することが、内部統制の目的を達成するために不可欠」と指摘。ただ、「組織に新たなITシステムの導入を要求したり、既存のITシステムの更新を強いるものではない」としている。

 一方、ITの利用および統制については「ITには、情報処理の有効性、効率性などを高める効果があり、これを内部統制に利用することにより、より効率的な内部統制の構築を可能にする」とITの利用を推奨する。特にITによるプロセスの自動化については「手作業による統制活動に比べて迅速な情報処理が期待できるほか、人間の不注意による誤謬(ごびゅう)などの防止も可能」としている。

ITの評価範囲を明確に

 IT統制については経営者向けの指針である「内部統制の評価および報告」が詳しい。IT統制を行ううえでの評価範囲は、「財務諸表の重要な勘定科目がどのような業務プロセスおよびシステムと関連しているか、システムの機能の概要、どの部署で利用されているかなどを整理する」と説明。そのうえで業務プロセスやシステム間のデータの流れを図を使って記述する業務フロー図の作成が有用としている。

 経営者はIT基盤の概要を把握することが求められる。例として挙げられているのは以下。

  • ITに関与する組織の構成
  • ITに関する規程、手順書など
  • ハードウェアの構成
  • 基本ソフトウェアの構成
  • ネットワークの構成
  • 外部委託の状況

 IT統制はこれまでの考えを受け継ぎ、「IT全般統制」と「IT業務処理統制」で対応を求める。全般統制では以下の点について内部統制が整備されているかを評価するとしている。

  • ITの開発、保守
  • システムの運用・管理
  • 内外からのアクセス管理などのシステムの安全性の確保
  • 外部委託に関する契約の管理

 また、IT業務処理統制では「経営者は、識別したITに係る業務処理統制が、適切に業務プロセスに組み込まれ、運用されているかを評価する」と指摘。そのうえで具体的な評価点として以下を挙げた。

  • 入力情報の完全性、正確性、正当性などが確保されているか
  • エラーデータの修正と再処理の機能が確保されているか
  • マスタデータの正確性が確保されているか
  • システムの利用に関する認証・操作範囲の限定など適切なアクセス管理がなされているか

SoDの重要性を指摘

 注目されるのはアクセス管理の項目。米国の事例では取引の承認や記録、管理などの業務を別々の者に担当させる職務分掌(Segregation of Duties:SoD)が内部統制の構築で重要視された。日本版SOX法でもSoDの徹底を求めると見られ、「内部統制の基本的枠組み」は「職務を複数の者の間で適切に分担または分離させることが重要」と指摘している。さらに「財務報告に係る内部統制の評価および報告」では全社的な内部統制の不備の例として「ITのアクセス制限に係る内部統制に不備があり、それが改善されずに放置されている」ことを挙げている。

 内部統制の不備ではほかに「重要な欠陥」として企業の連結ベースの税引前利益が5%以上変動する場合に報告を求める。

 IT統制では内部統制運用の効率性についても言及している。ITで自動化した内部統制では変更やエラーがない限り、一貫して機能するとして、前年度に内部統制に不備がなく、有効に運用されている場合は、「前年度に実施した内部統制の評価結果を継続して利用することができる」としている。

文書化3点セットの作成求める

 内部統制の構築では、業務におけるリスクとコントロール(統制)の関係性を記述した「リスクコントロールマトリクス」と業務の流れを図で記述する「業務フロー図」、業務プロセスの内容、流れを説明する「業務記述書」の3点が必要される。いわゆる「文書化3点セット」だ。実施基準案もこの3点の作成を基本的に求める。ただ、業務フロー図と業務記述書については業務プロセスの把握・整理を目的とし、「必要に応じ図や表を活用して整理・記録することが有用」と指摘するにとどめる。実施基準案では3点の参考例も提示するが、「企業において別途、作成しているものがあれば、それを利用し、必要に応じそれに補足を行っていくことで足る」としている。

 実施基準案について部会では「ある程度、受け入れ可能な指針となった」(日本経済団体連合会常務理事 久保田政一氏)と評価する意見が出たが、「早く公表してもらいたい」との声も多かった。日本版SOX法についてQ&A集を求める声もあり、金融庁は「今後考えていきたい」と説明した。

(@IT 垣内郁栄)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)