| 毎週発行されているパートナーNewsより選り抜きの記事をご紹介! |
2006年6月28日 |
第二回 『SOX法がITに及ぼす影響』』
|
● 米国SOX法がITに及ぼした影響
● 日本版SOX法とITへの対応
|
■ SOX法がITに及ぼす影響gk4
前回は日本版SOX法の概要について、米国SOX法との比較で解説を致しました。
そこで内部統制について、ITを利用しなくては実質的に実現不可能だと記しました。このため、SOX法が制定されることによるITに及ぼす影響について、米国での事例と日本におけるSOX法制定後について記述いたします。
● 米国SOX法がITに及ぼした影響
米国ではSOX法は2002年7月に施行されて、2004年度の財務諸表には適用しなければなりませんでした。SOX法がITに最も影響を与えたのは、404条にある「内部統制の管理」です。
財務諸表の作成にあたって、そのプロセスを規定した上で、毎年評価することを義務付けています。このプロセスは、内部統制(internal control)と呼ばれていますが、プロセスを具体的に文書化することを意味しています。つまり、普段行っている仕事のプロセスを文書化することです。従来はこのような手続きを、会計処理の視点では作成しない企業体がほとんどでした。時間的な制約を持って文書化する必要がありました。こういった面を打破するために、ITに頼らざるを得ませんでした。
つまり、内部統制及び基本的枠組みの有効性を確保するため、ITを有効かつ積極的に利用していきました。米国の場合、企業が文書化に平均5億円掛けたといわれています。SOX法対応の予算のうち、文書化などのサービス、コンサルティングの予算が全体の8割を占めたということです。また、SOX法対応した企業の標準は対応整備に平均8〜12カ月以上の期間をかけたといいます。
しかし、米国企業がSOX対応に追われた理由の一つとして、罰則の存在があると考えられています。もちろんコンプライアンスに対する観点からも日米の違いはありますが、罰金100万ドルまたは10年の懲役、罰金200万ドルまたは20年の懲役などが1106条に明記されていることが大きな重しになったことは間違いないと思われます。上場企業側は上記に述べるように精力的に対応したことは事実ですが、それでもSOX法施行後、最初の年次報告書の提出期限を守れなかった企業は20社を下らなかったのです。
● 日本版SOX法とITへの対応
前回も記述しましたが、企業会計審議会草案では、前述COSOフレームワークの5つの構成要素((1)統制環境、(2)リスク評価と対応、(3)統制活動、(4)情報と伝達、(5)モニタリング)のほかに「ITの利用」が加えられています。ITの利用について、草案は「組織目標を達成するため組織の管理が及ぶ範囲において、IT環境に対応した情報システムに関連する内部統制を整備及び運用すること」と定義しています。
ITを利用した内部統制=IT統制には以下の2点がポイントになってくると思われます。
・個々の業務プロセスの段階において、内部統制の基本的枠組みを含め、総合的に評価される。
・内部統制評価の観点からシステムの見極めが重要視される。
IT統制については「業務処理統制」と「全般統制」の2つに分類される。業務処理統制は個々の業務処理システムにおけるデータの網羅性、正確性、維持継続性を確保するための統制のことを指します。ITにおける具体例としては、「全てのプロセスが統一した顧客マスタDBを参照」や「二重入力チェック処理」等があります。
全般統制は一般業務処理統制が有効に活用できる基盤/環境を保障する統制のことをいいます。基盤システムに対する統制を含み、ITプロセス等に関わる個別要素である「ログ監視」「生体認証を中心とした個人認証」「オーディット」「暗号化」「可用性/冗長性の確保」「バックアップ/リカバリ方式」等がこれにあたります。
企業会計審議会草案のIT統制の部分は、ISO17799(BS 7799パート1)や米国システムコントロール協会のCOBIT、経済産業省が2004年10月に発表した「システム管理基準」「システム監査基準」、米国公認会計協会やカナダ勅許会計協会のIT統制基準などを参照していると考えられます。
企業会計審議会の草案では、5つの構成要素に基づき、内部統制が適正に構築・運用されているかをCEO/CFOが評価し、外部に対して「内部統制報告書」として示します。監査人はこの経営者評価の適正性をチェックする「内部統制監査報告書」を作成するというプロセスを想定しています。このプロセスを回すことで、適正な業務、適正な財務報告、コンプライアンス、資産の保全という内部統制の4つの目的を継続的に達成していくこととしています。 なお、資産の保全という目的については企業会計審議会草案で付け加えられたものです。
今後日本版SOX法の法案通過に伴い、個人情報保護法案に対する対応、ISO17799に準拠したセキュリティポリシーの策定と共に、バランスの取れたITへの適用がますます求められてきます。
|
|
|
|
