• 新法が求めるのは経営管理システムの再確認である 1/3 ページ
• 新法が求めるのは経営管理システムの再確認である 2/3 ページ
• 新法が求めるのは経営管理システムの再確認である 3/3 ページ

日本版 SOX 法は、法令を遵守して経営を行い、事業の成果を正しく報告することを求めている。
その正当性を確保する手段が内部統制の枠組みであり、米国版のそれに IT への対応の一項が加わったが、それは経営活動を一貫したシステムで運用し、結果をリスクとともに明示する経営管理システムの再確認といえる。

「財務報告に係る内部統制の評価及び監査」を求める金融商品取引法 (日本版 SOX 法) は、2006 年 6 月に成立した。対象となるのは株式を公開しているすべての企業。2008 年 4 月 1 日以降に始まる事業年度から適用され、上場企業には、財務報告に関する書類の適正性を確保するために必要な体制について評価した報告書の提出が義務付けられる。

内部統制の目的には、業務の有効性および効率性、財務報告の信頼性、関連法規の遵守並びに資産の保全がある。内部統制というと難しく聞こえるが、内容に目新しい点はない。法令を遵守して正しく経営を行い、事業成果を正しく報告することを求めているにすぎないのである。

このような経営活動を一貫性あるシステム (制度) として運用し、その運用結果の適否をリスクも含めて開示・報告せよ、というのが制度趣旨である。つまり、内部統制の意義をより広く捉えるならば、それは経営管理システムそのものにほかならない。

実態的に見れば、ほとんどの会社では、内部統制という表現を使うか否かは別にして、相応に正しく経営が行われてきたはずである。要は、従来、暗黙知的に運用してきた自社の経営管理システムの品質がどのように担保されているのか明快に説明せよ、と求められているのであり、その説明における共通の評価尺度として、内部統制という概念と枠組み (フレームワーク) が適用されるのである。

日本版 SOX 法において、主たる評価対象となるのは、財務報告の信頼性である。企業が外部に公表する財務報告書において適正な情報を開示するために、情報の生成から集計、加工、表示に至るまでの手続きやデータ処理が適切に実施されていることを、直接または間接的に管理・検証することが、この法律が求めている内部統制の主題である。

ページのトップへ

内部統制の枠組みについて、法的に定義されたものは存在しない。いわゆる日本版 SOX 法においても、「一般に構成妥当と認められる内部統制の評価の基準」に準拠することが要求されているのみであり、米国 SOX 法においても、その位置づけは同様である。

日本版 SOX 法で開示が要求される「内部統制報告書」では、自社が採用している内部統制の枠組みについて明記することが求められている。米国 SOX 法の適用実務においては、COSO (トレッドウェイ委員会支援組織委員会) のフレームワークがデファクトスタンダード (事実上の標準) として採用されている。日本においては、先に企業会計審議会内部統制部会が公表した「財務報告に係る内部統制の評価及び監査の基準案」に記載された内部統制の基本的枠組みが、事実上の標準として採用されることになるであろう。

日本版 SOX 法における内部統制の枠組みは COSO を参考にして構成されているが、新たに加えられたものもある。COSO の報告書では、業務の有効性および効率性など 3 つの目的と、統制環境、リスク評価など 5 つの構成要素で構成されている。

日本版では、構成要素をより汎用的な基本的要素と定義として「IT への対応」を加え、目的に資産の保全が加わった。企業の資産を保全することの重要性は論を俟たない。

「IT (情報技術) への対応」を内部統制の基本的な構成要素の一つとして明示した点が注目されているが、これは、COSO が発表された 1992 年の企業環境に比して、劇的に IT の活用・浸透が進んでいる今日の時代背景を反映した結果と理解できる。したがって、IT に係る内部統制の評価実務において、米国 SOX 法で要求されるものと日本版 SOX 法で要求されるものが、大きく異なるという意味ではないと理解すべきであろう。

ページのトップへ

日本版 SOX 法の要諦である財務報告の信頼性において、今日ではもはや IT の利用を抜きに考えることはできない。財務報告のプロセスに重要な影響を及ぼす IT 環境への対応と、プロセス自体に組み込まれた IT の利用と統制を適切に考慮し、その信頼性を確保することが求められる。

このような内容を持つ法律に、企業や経営者はどのように対応したらよいのだろうか。ここでは、IT に関連する領域に絞って、ポイントを整理してみよう。

第 1 に、IT 管理に関する基本方針を情報および関連 IT 資産の管理の現状を調査し、全社レベルの統制環境の水準を評価・確認すること (IT 全般統制の評価) が必要である。

第 2 に、重要な業務プロセスに組み込まれている個々のアプリケーション・システムの中で、財務報告の信頼性に重要な役割を果たしている IT 機能を選定し、評価すること (個別業務処理統制) が求められる。

第 3 に、内部統制の評価作業に対し IT をどのように活用し支援するのか、明白な方針を決定し、具体的な支援を実践すること (内部統制評価プロジェクトの支援) が必要である。そして最後に、企業集団全体で同一の管理品質を維持する施策を検討し、導入すること (グループガバナンスの強化) が必要である。

ページのトップへ

• 新法が求めるの経営管理システムの再確認である 1/3 ページ
• 新法が求めるのは経営管理システムの再確認である 2/3 ページ
• 新法が求めるのは経営管理システムの再確認である 3/3 ページ

• 新法が求めるのは経営管理システムの再確認である
• 内部統制確立までの正しいロードマップ
• かくして米国 SOX 法への対応は成った
• リスク管理こそ収益力を高め、株主への説明責任を果たす第一歩
• 企業価値を高める究極の IT 基盤整備
• 日本版 SOX 法の向こうに BPM が見える