1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. 続・3分でわかる内部統制(前編)?日本版SOX法対応をおさらい

続・3分でわかる内部統制(前編)?日本版SOX法対応をおさらい

いよいよ2009年3月期の適用開始が目前に迫ってきた日本版SOX法。貸借対照表や損益計算書などによる財務報告に関して、報告内容の正しさだけでなく作成過程の正しさ、つまり「内部統制」の整備を求めるのが日本版SOX法の考え方です。

そのため、経理や財務といった会計関連部門だけでなく、実際にお金を動かす営業部門や企業内の業務システムを統括するシステム部門も法対応の対象になります。

本稿では、日本版SOX法対応の意味するところを今一度おさらいし、内部統制におけるIT統制の重要性について、日立システム社員にインタビューしました。
後編はこちら

話を聞いた人:
日立システム プラットフォームソリューション本部 部長
一村政司
日立システム 内部統制ビジネス推進センタ 主任技師
長谷川守邦
日立システム 営業統括本部 主任
木村正紀

一村政司(左) 長谷川守邦(中央) 木村正紀
左から一村さん、長谷川さん、木村さん


何をもって日本版SOX法に対応したことになる?

―まず始めに、日本版SOX法についておさらいしたいのですが
長谷川
 日本版SOX法は、正確には「金融商品取引法」の第24条や第193条などで構成される内部統制報告制度のことを指します。金融商品取引法は証券取引法が改正されたもので2006年6月に国会で成立し、2007年9月に施行されました。

―実際に日本版SOX法という法律があるわけではないんですね
一村 
そうですね。金融商品取引法に内部統制報告制度が規定された経緯については、「3分でわかる内部統制入門」を読んでいただきたいのですが、米国では2002年、企業の会計不祥事がきっかけになって内部統制整備が義務化されたのですね。これがいわゆる米国SOX法(サーベンス・オクスリー法)です。

―米国SOX法に似ている制度なので日本版SOX法と呼ばれていると
長谷川
 そう考えていただいて差し支えありません。米国SOX法のポイントとなるのが302条と、404条の条文です。

●【302条】...企業の財務諸表が正しいことについて宣誓する
⇒間違い・不正が発覚したら経営者は実刑となる

●【404条】...財務諸表が正しく作られるための企業の内部統制について整備/評価する(「内部統制報告書」を作成する)
⇒外部監査人が内部統制の評価を行う

つまり、内部統制の構築・運用を経営者の義務とし、その評価を外部監査人の義務としているんですね。

木村 米国SOX法と日本版SOX法とでは、適用範囲や監査方法などは異なりますが、財務報告が適性に行われるために、上場企業に内部統制の整備・運用を求めるという点では同じです。

―では、何をもって日本版SOX法に対応したといえるのでしょうか
木村
 ポイントとなるのが内部統制報告書の作成ですね。内部統制報告書は期末日時点における内部統制の状況を報告する書類で、「2009年3月期の適用開始」というのは、日本版SOX法が最も早く適用される事業年度、つまり2009年3月31日が期末日ということを指します。

長谷川 内部統制報告書が求めているのは期末日時点での評価です。経営者はその企業の内部統制が有効かどうかを自己評価し、内部統制報告書を作成します。これが第一段階です。

一村 次に外部の監査人が内部統制報告書の内容を監査します。日本の場合は監査人は実際の業務の内容まではチェックしないというのが原則ですが、実際は報告書の内容通りに業務が運用されているか、チェックしないといけない場合もあるのではないかと見られています。

そして、実際に3月期決算の企業が内部統制報告書を提出するのは、従来の決算書類と同様(5月?6月あたり)ということになるでしょう。


内部統制が有効でない場合はどうなる?

―では、自社の内部統制の状態が有効でない場合はどうすればいいのですか
長谷川
 日本版SOX法対応のゴールは、内部統制報告書の作成と言いました。これは、経営者が「自社の内部統制は有効である」と評価し、その評価を監査人が「正しい判断である」と認定するということを意味します。

当然ながら、適用初年度より完璧に有効という状態にならない場合もあることと思います。いわゆる「問題がある」という状態です。

日本版SOX法では内部統制に問題がある状態を、「不備」と「重要な欠陥」の二つに分けて定義しています。定義の詳細は、金融庁企業会計審議会内部統制部会の「実施基準」や日本公認会計士協会の「財務報告にかかる内部統制の監査に関する実務上の取り扱い」などで言及されていますが、簡単に言うと、問題の程度が軽微である場合は「不備」、これに対して重大な場合が「重要な欠陥」です。

―「不備」と「重要な欠陥」があったときの対応はどうなるでしょう
木村
 はい。内部統制に「不備」があった場合でも、経営者は「内部統制は有効である」と判断することはできます。監査人はその判断が正しいかどうかを監査します。

一方、「重要な欠陥」があった場合は、経営者は「内部統制は有効である」と判断することができません。内部統制が有効でないので、財務報告の内容が適性であると保証できない旨、記述する必要があります。そして、監査人はその判断が正しいかどうかを監査します。

―内部統制が有効でない場合、罰則などのペナルティはあるのでしょうか
一村
 金融商品取引法で罰則の対象となるのは、内部統制報告書に虚偽記載があった場合です。上記の例でいえば、内部統制に「重要な欠陥」があったにもかかわらず、内部統制が有効であると報告した場合などです。

罰則内容は、財務報告の責任者に対して「5年以下の懲役もしくは500万円以下の罰金、または両方の罰則を科す」ということです。

木村 虚偽の表示がなければ、内部統制が有効でない場合も特に罰則はありません。ただし、株式市場での信頼を失うことになるリスクは覚悟しなければならないでしょう。


日本版SOX法の適用領域

―日本版SOX法が適用される領域について教えてください
長谷川
 はい。財務報告の内容の正しさだけでなく、作成過程の正しさを求める制度が日本版SOX法であると述べました。

日本版SOX法の適用領域は細かくは次の5点です。

(1)全社的内部統制
(2)決算財務報告
(3)業務処理統制
(4)IT業務処理統制(アプリケーション)
(5)IT全般統制(インフラ)

そして、上記を大まかに階層化したものが以下の図になります。


財務諸表は、経営活動の結果です(画像をクリックすると拡大します)

ご覧の通り、三つの階層に分かれて色がかかっている部分が内部統制の領域です。

―では、図の「全社的内部統制」についてご説明下さい
長谷川
 全体方針と運用方式です。例えば、次のような観点での統制が考えられます。
 ・会計方針及び財務方針
 ・組織の構築及び運用に関する経営判断
 ・経営レベルにおける意思決定のプロセス

具体的には、会社として予算制度をちゃんと作っているとか、業績会議を定期的に開催して業績のフォローをしているといったことです。取締役会や経営会議を定期的に開催し、その議事録を残しているということも含まれます。また、自社の業務を監査しているという内部監査の体制や、内部統制に関する体制が整備されているといったこともこのレイヤーの項目です。

―では次の「業務処理統制」は?
木村
 企業活動における「業務プロセス」に関する内部統制です。
 ・財務報告の信頼性に重要な影響を及ぼす業務プロセスのリスクに対して、適切な統制を設定する
 ・また、そうした統制が適切に機能しているか評価する
 ・個々のアプリケーション・システムにおいて、承認された取引がすべて正確に処理され、記録されることを確保する

ということがポイントです。販売であれば営業部門。商品の物流であれば物流部門や倉庫部門など。売掛金の回収ということであればであれば経理財務部門ですね。情報システムについてはIT部門といった風に、関係する現場部門が対象になります。

―最後の「IT全般統制」は?
一村
 業務プロセスにおける個々のアプリケーション・システムを支える、IT基盤に対する統制ですね。
 ・プログラム開発・変更管理
 ・システム運用基準
 ・セキュリティ基準

といったポイントについて、どの部門がプロセスに責任を持つのかを明らかにする必要があります。

長谷川 このように、財務報告を行う経理や財務といった会計関連部門だけでなく、実際に売上や利益に関連する営業部門や購買部門も日本版SOX法の適用領域に含まれます。会計システムや販売管理システムなど売上に関する基幹業務がシステム化されていることを考えると、システム部門も当然、日本版SOX法の範囲に含まれてくるということなのですね。


※次回は日本版SOX法対応で想定される内部統制整備の手順やIT統制の重要性などについて紹介する予定です。お楽しみに。

関連キーワード:
  • キーロガーの脅威と対策について
  • カテゴリートップへ
  • コンパニオン・ウイルスとは
あなたへのオススメ
2009年4月22日
SIEM(Security Information and Event Management)とは
2006年5月16日
3分でわかる内部統制入門
2007年11月20日
EUCとは
2007年12月19日
IAMとは
2008年4月14日
続・3分でわかる内部統制(後編)?内部統制とIT統制