Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

第2回 日本版SOX法では「財務報告の信頼性」を確保するための「IT全般統制」が必要

  2007/10/16 12:00

 前回は一般的な法規制への遵守(コンプライアンス)について述べてきました。今回は日本版SOX法とその中における内部統制、特にIT統制に焦点を絞ってまとめたいと思います。

日本版SOX法とは?

 まず、日本版SOX法に関してですが、厳密には「日本版SOX法」という法規制は存在せず、2006年6月に金融庁が公布した「金融商品取引法」の24条の4の4を指して「日本版SOX法」という事が一般的です。

 この中では財務報告に関する内部統制の有効性を評価する「内部統制報告書」の提出が義務付けられています。また、対象となる企業は「株券の上場企業(優先出資証券を上場する協同組織金融機関を含む)」となっています。

 この「金融商品取引法」ですが公布から1年6ヶ月以内に施行される事となっていましたが、正式に2007年9月30日が施行日と定まりました。しかしながら、「日本版SOX法」にあたる部分に関しては以前から言われている通り、2008年4月以降に開始する事業年度から適用される事が正式決定しました。

日本版SOX法と内部統制

 先程のセクションで述べた通り、日本版SOX法では「内部統制報告書」の提出が求められています。このため、企業は全社において内部統制を行う必要があると言えます(より厳密には内部統制報告書を作成する必要があります)。

 ここでまず1つ目の疑問が発生します。

 「内部統制って何をしたらいいの?」

 この理解を助けるのがCOSOが公表した内部統制のフレームワーク(COSOフレームワーク)です。COSOは「the Committee of Sponsoring Organization of the Treadway Commission」の略であり、米国版SOX対応ではデファクトとなっているフレームワークです。

 このフレームワークの中では内部統制の3つの目的と5つの要素が定められています。

 まず3つの目的ですが「業務の有効性と効率性」「財務報告の信頼性」「法令遵守」となります。次に5つの要素ですが「統制環境」「リスク評価と対応」「統制活動」「情報と伝達」「モニタリング」になります。COSOフレームワークではこれら3つの目的を達成するため5つの要素を使用して内部統制を行うこととしています。

 これに対し、日本版COSOというものが作成され、目的と要素が1つずつ追加されています。

図1:COSOフレームワーク
図1:COSOフレームワーク

 では、日本版SOX法ではCOSOフレームワークの目的を全て満たす内部統制が必要であるかと言うと、実はそうではありません。上のセクションでも述べている通り、日本版SOX法の中では「財務報告に関する内部統制」が求められています。即ち、日本版SOX法で行うべきは「財務報告の信頼性」を目的とする内部統制となります。


著者プロフィール

  • 日本CA 斎藤 俊介(サイトウ シュンスケ)

    日本CA株式会社 ソリューション技術部 プロダクトソリューション統括部 コンサルタント。 日本CAに入社以来、セキュリティ専門のプリセールス、サービス活動に従事。現在は主に日本版SOXに必要なアクセス管理に関して実際の導入設計やセミナーでの講演を行っている。

バックナンバー

連載:SOX法対策まで待ったなし!実践アクセス管理
All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5