第1回　実施基準の概要を理解する

2007.03.22

「日本版SOX法」の実施基準が2007年2月15日に正式確定した。内部統制報告書や内部統制の評価方法のあり方を示す公式文書だ。IT環境を適切に理解し、効率的にITを利用することで、内部統制の有効性を確保する「ITへの対応」を求める。同法が適用される、2008年4月以降に始まる事業年度まであと1年。本連載では、ITへの対応に向けて実施基準案を読み解いていく。

大津留一郎
KPMGビジネスアシュアランスシニアマネージャー

日経コンピュータ2007年2月5日号の記事を掲載しています。実施基準が正式確定する前の「実施基準案」の情報に基づいていますが、実施基準案と実施基準との間に大きな差異はなく、内部統制に取り組む企業にとって有益な情報であることに変わりありません。

　金融庁が2006年11月21日、「財務報告に係る内部統制の評価及び監査に関する実施基準」の公開草案（以下、実施基準案）を公表した。同年12月20日にパブリック・コメントの受け付けが締め切られ、確定版の作成が進められている（編集部注：実施基準は、金融庁企業会計審議会内部統制部会での審議を経て、2007年2月15日に正式確定した。関連ニュースはこちら）。

　実施基準案は、08年4月以降に始まる事業年度から適用される予定の、いわゆる「日本版SOX法」において、内部統制報告書の作成や内部統制の有効性の評価方法について示した公式文書である。

　05年12月に公開された「財務報告に係る内部統制の評価及び監査の基準案（以下、基準案）」は、内部統制の定義や経営者による評価、公認会計士等の監査の基準といった「考え方」だけを示していた。適用開始まであと14カ月しかないことを考えれば、「やっと出た実施基準案」との思いが強い読者も少なくないだろう。

　実施基準案は、これまで監査になじみが薄かったシステム担当者でも日本版SOX法の内容を理解しやすいよう、具体例を交えて説明している。システム部門としても、この実施基準案を十分に読み解き、「財務報告に係る内部統制にITがどのように関係しているのか」「ITに求められる内部統制とは何か」「ITに係る内部統制をどう評価するのか」などを理解する必要がある。

　この短期連載では、実施基準案に記載されている内部統制の基本的な枠組みと、09年3月までに実施すべき対策の内容を3回に分けて解説する。第1回は、実施基準案に盛り込まれているITに関する項目や内部統制の基本的な枠組みを整理し「IT統制とは何か」を解説する。

　第2回は、実施基準案からみるIT統制整備のポイントとして日本版SOXに対応するためにシステム部が実施すべき内容を、第3回ではIT統制の評価ポイントを、それぞれ解説する。

まずは既存業務の見直しから

　日本版SOX法は、上場企業に対し、財務報告に関する内部統制の有効性評価の結果を記した「内部統制報告書」の提出を義務付ける制度である。06年6月に成立した金融商品取引法が規定する。

　同法は、内部統制報告書を作成する対象を、「財務報告に係る内部統制」と定義する。ここで「財務報告」とは、金融商品取引法上の開示書類（有価証券報告書及び有価証券届出書）に記載される、財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報のことである。

　実施基準案は、内部統制の基本的枠組みを解説し、内部統制の評価・監査を実務で進めるための方法を示している。ITについては、「IT環境の適切な理解とITを効率的に利用することによって他の内部統制の基本的要素の有効性を確保できる」と述べる。

　ただし、実施基準案を読み解く上で注意を払うべきは、「組織に新たなITシステムの導入を要求したり、既存のITシステムの更新を強いるものではない」とも言及していることだ。システム部門における日本版SOX法への対応ではまず、必要な規程や体制の整備、業務の進め方の見直しなどから進めるべきである。実施基準案は、「ITを利用しないことが、直ちに内部統制の不備となるわけではない」としている。

　すなわち、日本版SOX法対応のために、新たにパッケージ・ソフトを導入したり、既存システムの機能を大幅に変更したりする必要はない。ただし現時点で、内部統制の整備にITを利用していなくても、将来の活用を検討する必要はあるだろう。

「ITへの対応」の定義

　実施基準案は、「I.内部統制の基本的枠組み」「II. 財務報告に係る内部統制の評価及び報告」「III. 財務報告に係る内部統制の監査」の3章からなる。これは基準案と同じ構成だ。ITについては、内部統制の六つの基本的要素の一つとなる「ITへの対応」として、各章で触れている（図1）。

図1●実施基準案が示すIT関連事項

　例えば、I.内部統制の基本的枠組みでは、IT統制について考え方や整備方法を提示する。II.財務報告に係る内部統制の評価及び報告では、経営者評価の対象とするシステムの決定方法と、評価すべきIT統制の項目例を挙げる。

　III.財務報告に係る内部統制の監査は、監査人を対象とした章だ。IT統制を評価するための検討項目を提示する。IIIに挙がる、IT統制の評価方法や具体的な評価項目は、IIの経営者評価でも参考になる。

　基準案と実施基準案は、ITへの対応を、「IT環境への対応」と「ITの利用及び統制」の二つに分けて説明している。

　IT環境への対応とは、企業としてのITの利用状況を指す。情報システムへの依拠の状況、情報システムの安定度、外部委託の状況などだ。企業をとりまく市場や取引先を踏まえ、「競合他社と比較してITの導入は進んでいるか」「社内でのITの利用は十分か」などを確認し、必要なIT環境を整備する。このとき、注意が必要なのは、実施基準案が定義する情報システムは、単にITに限っているわけではないことだ。「情報を処理及び伝達する仕組み」全般を情報システムと呼んでいる。

　一方、ITの利用及び統制とは、「ITを有効かつ効率的に利用し、ITに係る統制を整備・運用することで、内部統制の他の基本的要素をより有効に機能させること」である。I.内部統制の基本的枠組みの17～18ページに、具体的に何をすべきかが挙がっている。その他の内部統制の基本的要素との関係についても、事例を交えて説明しているので、参考にしてほしい。