日本版SOX法の内容が、ほぼ決まった。米SOX法にはない「ITに関連する記述」が、草案から、さらに踏み込んだ形になった。内部統制の実現にITを活用するだけでなく、社外を含めたシステムへの統制義務が課せられたことで、IT部門が対応すべき範囲が増えそうだ。
本記事は日経コンピュータ 2005年11月28日号に掲載予定のレポートより、本文のみを抜き出したものです。そのため図や表が割愛されていることをご了承ください。
金融庁は11月10日、企業会計審議会第12回内部統制部会を開催し、「財務報告に係る内部統制の評価及び監査の基準」の修正案を公開した。企業に内部統制を求める米国のSOX法(サーベンス・オックスリー法)をベースにした、通称「日本版SOX法」である。「文言が若干変わる程度で、修正案がほぼそのまま、日本版SOX法になる」(内部統制部会の委員)見込みだ。
日本版SOX法の最大の特徴は、ITとの関係を明記している点(図)。米国のSOX法は、ITには触れていない。7月に公開した草案でも「ITの利用」という表現で言及していたが、修正案では「ITへの対応」と一歩踏み込み、「内部統制をする上でITをどう活用するのか、また会計などの既存システムに対して、どう内部統制をかけるのかまでの明確な記述が増えた」(富士通コンサルティング事業本部の小村元プリンシパルコンサルタント)。
具体的には、草案で「ITは内部統制実現に重要な影響を及ぼす」としていたのを、「ITは不可欠な要素として、判断の基準になる」と明記した。すなわち、「適切に内部統制を実施しているかを判断する際に、どのようにITを利用しているか、情報システムに対して適切に内部統制を実施しているかが、判断基準の一つになる」(富士通の小村プリンシパルコンサルタント)。
特に、内部統制の評価対象となる情報システムについて「組織の内外のITに対して」という文言が加わったことが注目される。内部統制部会の臨時委員を務める日本大学の堀江正之商学部教授は、「ネットワークを介した企業間取引も内部統制の責任範囲であることを示す意図がある」と説明する。さらに、「外部に委託した業務の内部統制も、経営者の評価範囲に含める」という内容が加わったことで、「財務諸表作成にかかわるシステムの一部もしくは全部をアウトソーシングしている企業は、アウトソーシング先のシステムに対しても責任を負わなければならない」(堀江教授)。
草案に比べて一歩踏み込んだ記述がされた修正案だが、「具体的な検証方法や範囲、ドキュメントが保存されていない場合の対処方法といった詳細な指針が出ていない」という指摘もある。この点について金融庁は、「米国と同様に実施基準で定める」とする。日本版SOX法の正式版は年内にも公開される予定だが、実施基準に関しては、まだ基準を策定する作業部会の設置が決まった段階。基準が出てくるのは年明けになりそうだ。日本版SOX法の適用時期も「2008年3月期か2009年3月期以降になるか、企業規模によって適用時期を変えるのかなど、さまざまな意見がある段階」(堀江教授)である。
