【緊急対策必須】日本版SOX法対応マニュアル

日本版SOX法の実施基準が出る前に

　IDC Japanでは、国内の株式公開企業におけるCIOおよびIT担当役員、IT部門マネージャーなど、IT製品導入の意思決定に関与する人物に対し、日本版SOXに関するアンケートを実施した。下記図1は、現在進行中のITプロジェクトにおいて、日本版SOX法対策の優先度はどの程度かをたずねた結果である。

日本版SOX法対策の優先度（n=77）

　図を見ていただいたら分かるとおり、「非常に重要」「重要」と答えた企業は、全体の60％を超えている。この調査は2006年3月に実施されたものであるため、現在では日本版SOX法対策の優先度はさらに高まっているだろう。

　だが、日本版SOX法対策の具体像は、依然として明確でない。金融商品取引法は2006年6月7日に成立し、株式公開企業は、2008年4月1日以降の企業活動を対象に、内部統制が機能していることを証明する内部統制報告書の提出を義務付けられることになったのは確かだ。一方で、個々の企業が具体的にどのような内部統制システムを整備すべきかを示す実施基準は公表されていない。

　かといって、実施基準の公表を待ってから対策を立てていては時間切れになる恐れがある。なにしろ、内部統制システムを機能させるまでの時間的余裕は既に2年を切っているのだ。各企業は、暗中模索の中で日本版SOX法対策を進めなくてはならない。

　そこで必要になるのは、具体的な日本版SOX法対策がどのようなものになるにせよ、充分に対応できるだけのITインフラを整えておくことだと考える。

　では、日本版SOX法対策に必要なITインフラとはどのようなものだろうか。内部統制のフレームワークである日本版COSOをベースに、その基本要素ごとに有効と考えられるソリューションを見てみよう。

　金融庁では、日本版SOX法の草案と共に、内部統制システムのひな型として「日本版COSOフレームワーク」を提案している。COSOとは、米国のトレッドウェイ委員会支援組織委員会（Committee of Sponsoring Organizations of the Treadway Commission）の略称である。トレッドウェイ委員会は、不正な財務報告への対応を検討するため1985年に設立され、1992年と1994年の2回に渡って「内部統制のフレームワーク」を発表した。同フレームワークは各国の内部統制制度に採用され、現在ではデファクト・スタンダードとなっている。

　米国COSOフレームワークは、3つの目的と5つの基本要素を定義しており、日本版はそれに新しい項目をそれぞれ1つずつ追加している（図2）。

内部統制の日本版モデル

　日本版COSOフレームワークの定義によれば、内部統制の目的とは以下の4つである。

①業務の有効性および効率性
②財務報告の信頼性
③事業活動に関わる法令などの遵守（コンプライアンス）
④資産の保全

　最後の「資産の保全」が、日本版SOX法で新たに追加された項目である。ここからも分かるように、内部統制の本来の目的は財務諸表の適正性に限定されるものではない。業務の有効性を高めるのが第1の目的なのである。

　また、これらの目的を達成するために必要となる基本的要素として、以下の6項目を定義している。

①統制環境
②リスクの評価と対応
③統制活動
④情報と伝達
⑤モニタリング
⑥ITへの対応