日本版SOX法「実施基準案」がついに登場、IT統制に関して例示

日経コンピュータ

2006.11.06

　金融庁企業会計審議会内部統制部会は11月6日、第14回の部会を開催。「日本版SOX法」が求める内部統制整備の指針（ガイドライン）である「実施基準」草案（以下、実施基準案）の内容が、ようやく明らかになった。

　実施基準案は、(1)内部統制の基本的枠組み（30ページ）、(2)財務報告にかかる内部統制の評価および報告（33ページ）、(3)財務報告にかかる内部統制の監査（25ページ）という三つの文書で構成。(1)は、実務上で内部統制を整備するためのガイドライン。(2)は、財務報告にかかる内部統制を整備する際に評価範囲をどう決定するか、経営者が自社の内部統制の整備・運用状況をどう評価するかなどを記述。(3)は、監査法人が内部統制の整備状況を監査する際に利用する基準を示したものだ。ITについては、それぞれの文書で言及している。

　(1)の「基本的枠組み」では、ITを利用して内部統制を整備した場合は、「リスクを低く見積もることができるため、独立的評価の頻度を低くしたり、投入する人員を少なくすることも可能になる」と説明。一方で、「新しいシステムの構築や、既存のシステムの更新を強いるものではない」と強調している。内部統制部会の専門委員を務める、堀江正之日本大学商学部教授は、「ITによる内部統制の整備には、多大なコストがかかる。実施基準は、ITの有効性を指摘する一方で、その作業の効率化も目指している」と指摘する。

　実施基準案では、ITを活用した内部統制の整備について、「全般統制」と「業務処理統制」という用語を利用して説明している。全般統制の例として、(a)ITの開発、保守にかかる管理、(b)システムの運用・管理、(c)内外からのアクセス管理などのシステム安全性の確保、(d)外部委託に関する契約の管理、などの項目を挙げた。

　これらの全般統制は、「IT基盤（ハードウエア、ソフトウエア、ネットワーク等）を単位として構築することになる」としている。例えば、購買、販売、流通という3種類の業務管理システムを一つのホスト・コンピュータで集中管理する場合、全般統制の整備は1回で済む。これに対し、三つの業務をそれぞれ異なるシステムで運用している場合は、各システムについて「IT全般統制を整備する必要がある」としている。

　業務処理統制の具体例としては、(a)入力情報の完全性、正確性、正当性などを確保する統制、(b)例外処理（エラー）の修正と再処理、(c)マスター・データの修正と再処理、(d)システムの利用に関する認証、操作範囲の限定などのアクセス管理、の四つを挙げている。

　実施基準案の二つ目の文書である(2)「評価および報告」では、情報システムのアウトソーシングを含む「委託業務にかかる内部統制の評価方法」に言及。その方法として、(a)委託元企業が委託先企業に対して「サンプリングによる検証」をする、(b)委託先の企業から内部統制の評価結果を受けた結果を利用する（委託会社の評価結果の利用）、の二つを示した。

　実施基準案では、評価の際に「専門家の業務の利用」が可能としている。情報システムに関しては、「システム監査や情報セキュリティ監査の専門家の支援を仰ぐことができるようになる」と堀江教授は説明する。

　ITを利用して内部統制を整備した場合の評価について、「ITを利用して自動化された内部統制に関しては、一度、内部統制が設定されると、変更やエラーが発生しない限り一貫して機能する性質がある」として、「前年度に実施した内部統制の評価結果を継続して利用することができる」としている。ただしこれには、「障害・エラー等の不具合が発生していないこと」などの条件が付く。

　経営者の評価において「内部統制に不備がある場合」の具体例として、IT関連では「ITのアクセス制限にかかる内部統制に不備があり、それが改善されずに放置さている」を挙げている。このほか、実施基準案では随所でアクセス管理の重要性が強調されている。これについて堀江教授は、「ここでいうアクセス管理は『情報セキュリティの基本』の意味で使っている。IDとパスワードを管理するという“狭義”の意味ではなく、職務分掌や物理的なアクセス制限などを含む“広義”の意味でとらえるべき」と話す。

　内部統制について作成した記録の保存について、実施基準案では「諸法令との関係を考慮して、企業において適切に判断することとなる」としている。その上で、「金融商品取引法上は、有価証券報告書およびその添付書類の縦覧期間（5年）を勘案して、それと同程度の期間、適切な範囲および方法（磁気媒体、紙またはフイルム等）により保存することが考えられる」と明記。電子メールやアクセス・ログなどは、「広い解釈をすれば、この対象になる可能性が高い」（堀江教授）という。

　IT以外に関しては、「基本的枠組み」では、職務分掌や、内部統制整備における経営者の関与、内部監査部など社内の監査における独立性などを強調している。「評価および報告」では、内部統制の整備範囲を「売上高などを用いて金額の高い拠点から合算し、全体の一定割合（例えば、おおむね3分の2程度）に達するまでの拠点を重要な事業拠点」とした。その上で、対象とする業務プロセスの範囲について「原則として、売上高、売掛金および棚卸資産に至る業務プロセスはすべて評価対象」としている。

　「評価および報告」では、参考資料として「全社的な内部統制に関する評価項目の例」を例示。加えて、「業務フロー図」、「業務記述書」、「リスクと統制の対応（いわゆるリスク・コントロール・マトリックス＝RCM）」の例を示した。ただし、同案では「これらの項目や文書はあくまで例であり、各企業が独自に利用している項目や文書を活用して欲しい」とした。

　第14回の内部統制部会で議論したのは、実施基準案の三つの文書のうち、「基本的枠組み」と「評価および構成」について。11月20日に開催予定の第15回内部統制部会で「監査」を審議し、その後草案を一般に公開する予定だ。

　※昨年の「基準案」公開以降の経緯については，「ニュースでたどる『実施基準案』公表まで」（内部統制に関する総合サイト『内部統制.jp』）を参照していただきたい。

【解説】

　11月6日に内部統制部会で審議された「実施基準案」は、昨年12月8日に同部会が公表した「財務報告に係る内部統制の評価および監査の基準案（以下、基準案）」を補完するための文書、という位置づけである。基準案を作成した際に、「実際に企業が内部統制報告書を作成する際には、より詳細な指針が必要だ」との声が上がったことから作成が決まった。以来、内部統制部会傘下の作業部会が作成を進めてきた。

　基準案は、“日本版SOX法”としての役割を持つ「金融商品取引法」が上場企業に求めている「内部統制報告書」を作成するための基本的な考え方を示した文書である。内部統制の整備方法を示す「基本的枠組み」、経営者が自社の内部統制の整備状況を評価する際の考え方を示した「評価および報告」、監査法人が内部統制の整備状況が妥当かを監査するための方針を示した「監査」の三つの章で構成する。今回審議された実施基準案も、基準案の構成にならい、同名の三つの章から成る。

　11月6日の内部統制部会では、実施基準案の「基本的枠組み」と「評価および報告」についてのみ審議が行われた。次回開催される11月20日の部会では「監査」について審議する。ここで部会の合意が取れれば、「草案公開」となる見通しだ。その後、草案に対するパブリック・コメントを反映させた上で、年末あるいは2007年初めにも「実施基準」の正式版が登場する予定である。