日本版SOX法が求める内部統制の強化に対応するには,情報システムの活用が欠かせない。IT担当者がこの法律に備えて何をすべきかを米国のSOX法に対応した企業の事例から映し出す。
東京証券取引所は2006年4月14日,有価証券報告書に「虚偽記載」を行ったライブドアの東証マザーズへの上場を廃止した。既に2004年5月には,ヘラクレスに株式を公開していたITベンダーのメディア・リンクスが上場廃止。同じくITベンダーのアソシエント・テクノロジーは,2005年1月に東証マザーズへの上場を廃止している。いずれも理由は「粉飾決算」だった。
日に日に企業への視線が厳しくなる中,2006年6月7日に「金融商品取引法」が国会で成立した。同法は,2004年10月に発覚したコクドによる西武鉄道の有価証券報告書虚偽報告などをきっかけに金融庁が準備してきたもので,投資家保護を目的に各種規制を強化している。目玉の一つは,財務報告に間違いを発生させない仕組みを持つことを上場企業やその連結子会社に証明させる点。同じく投資家保護を目的に2002年7月に米国で制定されたSOX法(Sarbanes‐Oxley act*注1)にちなんで,日本版SOX法と呼ばれる。
内部統制の監査証明が必要に
日本版SOX法では,財務報告の正しさを「内部統制」の確立で実現し,さらに内部統制を有効に機能させることを,「内部統制報告書の提出」という形で求めている(図1)。
 図1●日本版SOX法(金融商品取引法)の目的と内部統制との関係 上場企業に対し,内部統制が有効に機能しているかを証明する義務を課している[画像のクリックで拡大表示] |
 図2●内部統制が有効に機能していることを示すために証明すべき内容 業務と情報システムが密接なだけに,情報システム部員が担当する範囲は広い。開発や運用を委託されているITベンダーのエンジニアも証明にかかわる必要がある[画像のクリックで拡大表示] |
ここで言う内部統制とは,財務報告に関係する業務を,不正や誤りが入る余地のない適切なプロセスで実施するための体制を指す。架空取引といった不正を未然に防止または速やかに発見できるように業務プロセスを実行していれば,正しい財務報告がおのずとなされるという考え方である。また,内部統制が有効に機能していることを投資家など外部に証明するため,公認会計士または監査法人といった監査人の監査証明を受ける必要がある。
このように,財務報告の信頼性を重視する日本版SOX法は,財務報告の基礎となる業務活動に厳しい規制を求める。そして,今や業務活動は情報システムなしには成り立たない。日本版SOX法は,法律が直接対象とする上場企業の情報システム部員はもとより,取引先であるITベンダーに所属するエンジニアの業務に大きくかかわってくるのは確実だ。
情報システム部員の関与が不可欠
内部統制が確立され,有効に機能していることを証明することと,情報システム部員やITベンダーに所属するエンジニアの業務が,どのように関係するのかを表したのが図2である。
まず,企業は会計や人事給与,販売,物流といった財務報告に関係する業務のプロセスを明確に定義した上で,その業務プロセスにおける内部統制が適切に機能しているかを,評価しなければならない。
ここで重要なポイントになるのが,情報システムが業務プロセスの一部を構成していることだ。業務プロセスの内部統制の適切さを証明するには,情報システムが仕様書通りに構築され,誤りなく稼働していることも証明しなければならない。この証明ができるのは,情報システム部員しかいない。このような業務プロセスの一部を構成している情報システムに対する内部統制は,「IT業務処理統制」と呼ばれる。各業務に情報システムが存在するため,システム部員の担当範囲は広い。
プログラムの開発や運用,アクセス制御といった自分たちの業務にも内部統制を確立し,有効に機能していることを証明する必要がある。この内部統制は「IT全般統制」と呼ばれる。
(次回へ)
