日本版SOX法の施行による内部統制と個人情報保護(3)個人情報の取り扱いを例に内部統制を確立させる(前編)
前回ではSOX法の要となる内部統制、発生するリスクについて説明した。しかしSOX法の成立した経緯から、財務諸表に関する内部統制の域をでないと考える人も多い。しかしSOX対応に携わっていけば、会計システムだけ対処すれば済む問題ではないことに気づく。例えば、上場企
特集
特集
●SOX法の対象範囲を確定する
チェックポイント
CP1:SOX法の内部統制の評価範囲は?
第1回では、米国SOX法が日本企業に影響が及ぶケースがあることを説明した。これは組織が構築した内部統制の及ぶ範囲を明確にすることが企業に要求されていることを意味する。A社がSOX法を順守する場合、SOX法では次のような会社もSOX法に基づき、内部統制の評価範囲となる。
・SOX法が要求する内部統制の評価範囲となる代表的なケース
A社が100%出資している子会社A1
子会社A1が100%出資している子会社A1a
A社が財務報告の信頼性に影響を及ぼす外部の委託会社B
出資比率が100%以外、子会社が海外に置かれているケースなど、個別に判断するが、従来の連結決算の対象範囲よりも広域に及ぶ。株主総会を開催する通知を株主に出す場合には、多くの企業が財務諸表に関する情報を印刷・加工・封印そして発送する一連の業務を外部企業に委託している。一方で、経理部門をアウトソーシングさせている企業も増えてきている。どこまでをSOX法の範囲であるか確定してからSOX法対応を進めていかなければならない。
CP1情報:
内部統制の評価範囲については、日本公認会計士協会から情報が提供されている。例えば、外部委託に関する内部統制の有効性については、監査基準委員会報告書 第18号が参考になる。
【執筆:古川泰弘(神奈川大学 非常勤講師)】
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
◎有料版Scan申込> http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm
《ScanNetSecurity》
