日本版SOX法の施行による内部統制と個人情報保護(2)SOX対応を企業が実現するために必要な内部統制

前回では米国SOX法、情報システムへの影響、そして日本版SOXの動向について説明した。今回は日本版SOX法（以下SOX法）で特に情報システムに影響を及ぼす「内部統制」を取り上げる。内部統制とは、経営陣が組織の内部を維持して統制することをさす。

内部統制する方法は、経営者によってやり方が異なる。ある経営者は、頭の中に理想的なモデルを描きながら、各担当者へ的確に指示を出す。別の経営者は、過去に作成された社内規程に沿って、組織を運営しているかもしれない。しかし、国内外で、企業の粉飾決算や不正処理が後を絶たない。そこでSOX法によって、内部統制を法制化する運びになったのである。

それにしても、どうして法制化することになったのだろうか。次のようなケースを考えてみれば、理解できると思う。あなたが投資家で、財務状況を見て、企業Aに出資した。その後、企業Aの不法行為が発覚した。経営者は「我、関せず」を貫き、不法行為を知らなかった為に、責任を逃れることができた。その結果、責任を逃れた経営者は高額な役員報酬を受け取ったが、投資家は企業の業績が悪化して、不利益を被った。これでは不公平であり、効果的な対策が必要なことが明らかとなった。

米国では内部統制の評価基準となる枠組みとして、COSOフレームワークを作成した。これは後に米国のSOX法に盛り込まれていった。英国は、過去に投資家の信頼を裏切る事件をきっかけに、内部統制の評価基準となるターンバル・ガイダンスを作成した。各国で内部統制に対する要求が高まり、企業を統治する経営陣は、企業としての社会的責任はもちろん、財務状況にも責任を負わせる必要性が生じたのである。

●健全な内部統制とは

チェックポイント
CP1:内部統制の目的は？
CP2:内部統制の基本的要素は？

内部統制が重要であることは、ほぼ各国の共通認識となった。しかし、米国のCOSOフレームワーク、英国のターンバル・ガイダンスのように、内部統制が作成された時期、企業を取り巻く状況によって差がある。

日本版SOX法では、組織を維持し、管理する「健全な内部統制」を達成するために、4つの目的（業務の有効性及び効率性、財務状況の信頼性、事業活動にかかわる法令順守、資産の保全）がある。これら4つの目的を達成していれば、SOX法に対応したことになるが、その為には、6つの基本的要素（統制環境、リスクの評価と対応、統制活動、情報の伝達、モニタリング（監視）、ITの利用から内部統制が構成されている必要がある。日本固有の基本的要素として、「ITの利用」も盛り込まれている。しかし、ITをどのように利用すべきなのか、明確に要求していない。

米国SOX法対応ではITの利用が欠かせなかった経緯もあって、ITの利用次第では企業の負担を軽くできるコツがある。既に、内部統制を支援するツール、監査システム、変更管理システムが登場している。

（SOX法を実現するイメージ）
https://www.netsecurity.ne.jp/img4/SOX-2.jpg

CP1情報:
COSO（Committee of Sponsoring Organizations of the Treadway Commission）は1992年、1994年に分けて発表されている。一方、ターンバル・ガイダンスはイングランド・ウェールズ勅許会計士協会（ICAEW）が1999年に作成し、2003年に改訂された。

CP2情報:
統制環境：企業内で内部統制が効率よく実施できるように環境を整えることで、具体的には経営者の統制に関する方針、従業員に対する内部統制への意識付けなどを指す。

リスクの評価と対応：リスクを識別して、評価されたリスクへの処置することで内部統制を確立させること。

統制活動：経営陣の指示が実行できるようにすることで、指示書、手順書などで確認することができる。

情報の伝達：必要な情報が必要な人に伝えられる仕組みで、定期的な会議、電子掲示板等が使用される。

モニタリング（監視）：内部統制が決められていても、機能しない場合に備えて、継続的に監視すること。

ITの利用：ITを活用した内部統制として、全体的な活動を確認する全般統制と、個別の業務別に実施する統制に分けられる。

【執筆：古川泰弘（神奈川大学非常勤講師）】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm