ビジネスお役立ち情報 > ビジネスColumn

ビジネスColumnビジネスColumn CADを利用して設計を行う際に必要なノウハウを紹介。

ビジネスColumnのトップへ

内部統制にいかに取り組むべきか?
――金融庁がガイドラインを策定

上場企業に内部統制整備を求める金融商品取引法、いわゆる日本版SOX法についての実施基準がいよいよ確定する。金融庁は2006年11月、実施基準の草案を発表、2006年12月のパブリックコメントを受けて、この2007年1月に正式に公開される。

内部統制整備の枠組みを示す

金融庁企業会計審議会内部統制部会が発表した「財務報告に係る内部統制の評価及び監査に関する実施基準」は、「金融商品取引法」いわゆる「日本版SOX法」で求められる内部統制整備に企業が取り組む際のガイドラインである。内部統制整備に関するルールを詳細に決めたものではなく、企業が内部統制のルールを策定しやすくするための枠組みを示したものだ。

金融庁は今回の実施基準に先立ち、2005年12月に「財務報告に係る内部統制の評価及び監査の基準のあり方について」という指針を発表している。これは、監査人が企業の内部統制の状況を評価する際の基準を示したもの。この前提となる内部統制の枠組みは、米トレッドウェイ委員会組織委員会が策定した「COSOフレームワーク」がベースになっている。日本版SOX法で求められる内部統制整備では、このCOSOフレームワークで示されている「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」という5つの構成要素に「IT(情報技術)への対応」を追加。今回の実施基準も、これを踏襲したものだ。

ポイントは文書化3点セット

実施基準は、内部統制整備の全体を総括する「内部統制の基本的枠組み」、企業経営者向けの「財務報告に係る内部統制の評価及び報告」、監査人向けの「財務報告に係る内部統制の監査」という3つの文書から構成されている。

「内部統制の基本的枠組み」では、内部統制を構築する要点が示されている。内部統制の4つの目的である「業務の有効性及び効率性」「財務報告の信頼性」「事業活動に関わる法令等の遵守」「資産の保全」について定義された内容を解説するほか、それぞれ相互に補完、関連するそれらの目的の関係についても言及されている。企業経営者は、この文書の内容を最低限理解することで、内部統制整備を進めることができる。

企業経営者向けにさらに詳しく解説されている「財務報告に係る内部統制の評価及び報告」では、財務報告に係る全社的な内部統制に関する評価項目の例など、企業が実際に参考にできる資料も用意されている。ここで例示されている「業務の流れ図」「業務記述書」「リスクと統制の対応(リスクコントロールマトリクス)」は、内部統制に関する監査時に、監査人に説明するために必要な“3点セット”として、企業が文書化しておくべきものになっている。

「ITへの対応」は企業の自主性を重視

日本版SOX法の内部統制構成要素で注目されているのは、「ITへの対応」である。COSOフレームワークをベースにしながら「ITへの対応」を明示したことで、企業経営者には「内部統制のためにどこまでITを整備しなければならないか」という疑問もあった。実際に、すでにSOX法が施行されている米国では、内部統制対応のためのITへの投資コストが増大していることを問題視する声が少なくない。

実施基準では「ITへの対応」について、「IT環境の飛躍的な進展によってITが組織に深く浸透した現状に照らして」追加したと説明する。企業の業務内容がITに大きく依存していたり、組織の情報システムがITを高度に取り入れていたりする現状を考えると、多くの企業はIT抜きで業務を遂行できないのは明らかである。そのため、業務を遂行するITに対して統制を求めることも不可欠となっているというのだ。ただし、「組織に新たなITシステムの導入を要求したり、既存のITシステムの更新を強いるものではない」とし、IT環境の整備はそれぞれの企業の自主性を重んじることが強調されている。

「ITの統制」の範囲はどこまで?

「ITへの対応」では、内部統制の有効性と効率性を高めることを目的とした「ITの利用」と、財務報告の信頼性を確保することを目的とした「ITの統制」に大別しているが、特に関心が高いのは「ITの統制」の範囲である。実施基準の「ITの統制」の目標には、情報が業務に対して効果的、効率的に提供されるという「有効性及び効率性」、情報が関連する法令や会計基準、社内規則などに合致して処理されるという「準拠性」、情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されるという「信頼性」、情報が必要とされるときに利用可能である「可用性」、情報が正当な権限を持つ者以外に利用させないように保護されるという「機密性」が挙げられている。ただし、「財務報告の信頼性以外の他の目的を達成するためのITの統制の整備及び運用を直接的に求めるものではない」という断りもある。つまり、内部統制整備に名を借りた過度なIT投資は不要であることを明言しているわけだ。

なお、「ITの統制」では、業務を管理するシステムを支援するハードウェア、ソフトウェア、ネットワークなどの基盤を単位として考える。例えば、購買、販売、流通の3つの業務システムが1つのシステムで集中的に管理・運用されている場合、このIT基盤に対して有効な統制を構築すればよいことになる。逆に、購買、販売、流通の3つの業務システムがそれぞれ別個のIT基盤で稼働している場合は、それぞれのIT基盤ごとに統制を構築しなければならない。

今回の実施基準公表により、2008年度(2009年3月期)から適用される日本版SOX法に対応した内部統制整備は、検討段階から、実際に構築するフェーズに入ったと言えるだろう。

(掲載:2007年1月)

企業のITセキュリティ講座