法人のお客さま総合 > Business ADVANCE > ICT用語ガイド > GUIDE 005 日本版SOX法
パート1 日本版SOX法って何?
上場企業の粉飾決算、有価証券報告書への虚偽の記載、インサイダー取引などここ数年、信じられないような企業の不祥事が相次いでいます。毎日のようにニュースやマスコミをにぎわせた数々の事件は、皆さんの記憶にもまだ新しいのではないでしょうか。
企業の経済活動のグローバル化、個人投資家の急増など、現在の経済活動はボーダレス化が進んでいると言われています。そのような状況下で企業が巻き起こす事件は、国内外の経済、特に株式市場へのダメージが大きいため、抜本的改革が早急に求められていました。政府としても、ただ手をこまねいて傍観していたわけではありません。監査基準の改訂、商法の改正、企業ガバナンス(企業統治)強化のための委員会等設置会社制度(※1)の開始、公認会計士法を改正し、コンサル業務の同時提供を禁止するなど、いろいろと手を打っては来ました。しかし、企業の不正を是正するには、まだ十分とは言えません。そこで登場したのが「日本版SOX法」です。
日本版SOX法のベースとなった法案は、2005年7月に金融庁によって「財務報告に係る内部統制の評価及び監査の基準案」として公開され、今年3月、第164回国会(通常国会:平成18年1月20日〜6月18日まで開催)に「金融商品取引法案」として提出され、可決されました。
日本版SOX法は、SOX(ソックス)法と呼ばれる、アメリカの「サーベンス・オクスリー法(※2 以下「米SOX法」)をお手本にしています。
米SOX法は、2000年〜2002年にかけて頻発した米国企業の会計不祥事の再発を防ぐために、米政府が制定した企業改革のための法律で、2002年7月に成立しました。米企業の財政情報を透明化し、なおかつ財務報告の正確性を保つために、「内部統制」と「外部統制」の2つの側面から強化・徹底を目指しています。
内部統制とは、業務が正しくかつ有効に推進されているかを社内でチェックする体制とそのプロセスのこと。法令遵守なども対象となるため、会計という狭い分野を超え、企業経営全体に関わるしくみとして重要視されています。具体的には、役員・取締役に対して、虚偽の情報を開示しないように宣誓署名させる、内部統制の整備と運用状況に関する報告書を作成し、年次報告と合わせて提出しなければならないなどの厳しい規制を設け、財務報告の信頼性を確保することを目的としています。
一方の「外部統制」とは、経営陣が「虚偽なし」として提出した財務報告が、本当に正しいかどうかを評価するしくみのことです。監査委員会や監査人の独立性を強化、また外部の監査機能を設置するといった項目が定められており、外部のチェックによって役員・取締役の規程違反が発覚した場合には、罰金もしくは5〜20年の禁固刑という厳しい罰則が設けられています。
米SOX法を理解する上で重要なポイントとなるのが「COSO(コーソー)フレームワーク」(※3)」です。これは1992年にアメリカのトレッドウェイ委員会組織委員会によって作られたフレームワークですが、SEC (米国証券取引委員) は、米国での内部統制フレームワークとしての基準を満たしているとして、このCOSOの基準を推奨しています。米SOX法の最重要項目と言われる404条では、財務報告に係る内部統制を、このCOSOフレームワークに沿って定義しています。
COSOでは『内部統制は、業務の有効性・効率性、財務諸表の信頼性、慣例法規の遵守を達成するために、取締役会、経営者およびそのほかの職員によって遂行されるひとつのプロセスである』と定義しています。COSOフレームワークが登場する以前も、内部統制という考え方はありましたが、適正な財務報告を目的とした狭い範囲のものでした。その古い概念を一新し、コンプライアンスや業務上のルールの遵守など、有効なプロセスとして内部統制を捉え直したのがCOSOフレームワークなのです。
COSOフレームワークは、「統制環境」「リスク評価」「統制活動」「情報と伝達」「モニタリング(監視活動)」の5つの項目を、内部統制評価する際の重要な要素として位置付けています。
Title : COSOが内部統制評価する際の基準に位置付けている5つの項目
COSOフレームワークは、「統制環境」「リスク評価」「統制活動」「情報と伝達」「モニタリング(監視活動)」の5つの項目を、内部統制評価する際の重要な要素として位置付けています。
統制環境経営者の誠実・倫理性・健全な倫理的価値観の組織全体への浸透など、企業の業務遂行環境
リスク評価企業全体の目的達成に関連するリスクを識別・分析し、そのリスクを如何に管理すべきかを決定するための基礎を提供
統制活動経営者の命令が実行されているとの保証を与えるのに役立つ方針と手続き。例)各種規程類の制定
情報と伝達経営者・管理者へ正確かつわかりやすい情報の提供を行うと共に、経営者の意志を効果的に社員に伝達を行う
モニタリング(監視活動)
内部統制システムの機能の質を継続的に評価するシステム
例)日常業務の中でのチェック、内部監査の適切な実施
さて、日本版SOX法も、米SOX法同様にCOSOフレームワークにのっとって作られていますが、2つの新たな要素が盛り込まれています。1つは内部統制の目的に、「資産の保全」が追加されたこと。もともと米国のCOSOフレームワークの内容にも含まれていましたが、日本では新たな項目として独立しました。
そしてもう1つは、日本で注目を集めている「ITへの対応(IT統制)」という項目の追加です。
特にITへの対応が独立した項目として盛り込まれた背景には、次の2点が挙げられます。まず第一に、1992年に誕生したCOSOモデルから14年たった今、企業のIT化が大幅に進んでいるため、内部統制を達成するためには、もはやITが不可欠な存在となっていることです。次に、米SOX法が適用された初年度の米企業においては、IT部門の関与が遅かったため、本来ならITを活用してコントロールした方がコストもかからず効率も良い業務に関しても、マンパワー(人的リソース)を導入し、人的にコントロールせざるを得ませんでした。
そういったアメリカでの反省を踏まえ、日本版SOX法基準案では最初からITへの対応を統制要素の1つとして切り出したようです。
それでは、「IT統制」の概要を簡単にご説明しましょう。
IT統制とは、財務・経理システム、会計処理の中で、特にコンピュータ技術を利用した部分を指します。大きく分けて、「業務処理統制(アプリケーション統制)」と「IT全般統制」と分類されます。
業務処理統制は、データの入力・処理・出力が正しく行われていることを保証するためのもので、具体的には入力の二重チェック、データの誤入力を防ぐためのしくみ(自動検出など)の構築、システム間でデータが正しくやりとりできているかを検証する機能、改ざんを防ぐためのアクセス制御などがあげられます。
一方の全般統制は、一連の財務処理がスムーズに、そして適切に処理できるよう、基幹となるシステムを整えることがメインとなりますが、そのシステムを有効に使うための「ルールづくり」が重要なポイントとなってきます。たとえば、開発のルール、運用・管理のためのルール、プログラムやデータの改ざんや不正使用を防ぐためのセキュリティ管理、アクセス制御、ユーザ管理のルールなど、各プロセスに適切なルールを作り、さらにそのルールがきちんと守られるように監視体制も作っていく。このようにトータルな視点が求められています。
現在実施基準について策定中のため、まだ全容が見えない日本版SOX法ではありますが、このたびの可決・成立によって、2008年4月1日からの事業年度より、適用が開始されることだけは明らかとなっています。残された時間はあと僅か。どこから手を付けていけばいいかわからない…と、頭を抱える経営者もいらっしゃるようですが、パート2では、実際に日本版SOX法に携わっている当社担当者へのインタビューを通して、「現実問題として、何をすればいいのか?」「どこから手を付けていくべきなのか?」といった具体的な側面に迫ります。
経営課題とICT(ITトレンド)
経営課題を解決する最新ICTを具体的に解説
ICT = Information & Communication Technology
