| |
| |
|
企業を取り巻くITの脅威も進化継続的な取組みが企業を守る
|
 |
 |
|
|
堀江正之教授
日本大学商学部
日本大学大学院商学研究課教授商学博士
日本監査研究学会理事
日本セキュリティマネジメント学会理事
金融庁企業会計審議会臨時委員
日本内部監査協会参与などを務める
|
|
|
| 日本版SOX法では、基本要素に「ITへの対応」が追加され、内部統制にITが大きな影響を与えることは間違いありません。そこで日本版SOX法とIT統制のポイントについて、情報セキュリティ管理基準にも関与し、金融庁の内部統制部会で臨時委員を務めた日本大学商学部の堀江正之教授にお話を伺いました。 |
|
| |
|
|
|
|
|
|
| 日本版SOX法において、COSOフレームワークになかったIT統制が独立項目として含まれています。その背景について教えてください。 |
|
|
|
2005年12月に金融庁の企業会計審議会内部統制部会から「財務報告に係る内部統制の評価及び監査の基準のあり方について」が公表されましたが、そのなかでまずポイントになるのは「財務報告」に限定された内部統制だという点です。あくまでも財務諸表を作成するための内部統制が前提となっており、これがIT統制を評価するときに大事なポイントになります。
COSOは内部統制の確立に不可欠な要素(構成要素)として、「統制環境」「リスク評価」「統制活動」「情報と伝達」「監視活動」を挙げていますが、内部統制部会では「ITへの対応」を加え、6つの構成要素としています。ここで誤解してほしくないのは、もともとCOSO報告書の公開草案では構成要素は9つ示されていました。そのなかに情報システムも入っており、それが後に「情報と伝達」に整理されたわけです。いまや、ITなくして企業の事業活動は成り立ちません。もし、今後、内部統制絡みで事故が起こるとすれば、ITが深く関わってくることは間違いないでしょう。COSO報告書が出てから15年近くが経過し、ITへの注意を喚起する、特に目立たせるという意図で「ITへの対応」としたというのが正しい理解です。また、他の構成要素に密接に関連するITの活用は、内部統制のベースになるものです。ITで特別なことをするというわけではなく、他の要素と一体となる、つまりプラス1ではないということを理解してほしいと思います。
したがって、内部統制はITをベースに組み立てるのが基本になります。すでにSOX法が施行されている米国では、内部統制の重大な欠陥がいくつか報告されていますが、そのなかでもITのコントロールの遅れが問題となっています。今後は、IT統制、内部統制における情報セキュリティ対策の強化がますます必要になってくるでしょう。 |
|
| |
|
|
| |
| 米国のお話がありましたが、SOX法が施行され、企業側からいろいろな反発が出たと聞いています。その反省点を踏まえたうえでの日本版SOX法と聞いておりますが。 |
|
| |
| まず、日本版SOX法の現状をお話しますと、「証券取引法等の一部を改正する法律(金融商品取引法)」が本年6月7日に参議院で可決成立しました。改正法の第24条の4および第193条の2にSOX404条の規定が盛り込まれます。2009年3月期決算から適用される見通しです。
さて、米国における内部統制ですが、『SOX法施行までに準備期間が短かったこともあり、初年度は準備不足と内部統制構築費用が大きく膨らみ、一部の企業ではIT投資が削られ、次年度はIT統制に力を入れた』などという話もあります。また厖大な手間隙とコストがかかったという話もよく耳にします。しかし、これらが全体を反映しているかといえばそうではないように思います。費用や対応などは企業の規模によっても異なりますし、数字だけが一人歩きしている気がします。ただ、改善の方向に向かっているのは明らかで、初年度、内部統制における重大な欠陥が16%あったのが、2年目は7%まで落ちたという報告もあります。重大な欠陥が1500例から400例まで落ちたことも明らかになり、次年度に相当改善されたことを伺わせます。 |
|
| |
|
|
| |
|
|
|
|
|
|
