日本版SOX法・徹底解析

■経済産業省の「財務報告に係るIT統制ガイダンス」

http://www.atmarkit.co.jp/im/cits/special/five_jsox2/00.html

　いまや、「内部統制」や「日本版SOX法」といった言葉を聞いたことがないIT担当者はほとんどいないと思います。SOX法はそのくらい“はやっている”のですが、経済産業省（以下、経産省）が2007年1月19日公開した「財務報告に係るIT統制ガイダンス（案）」（以下、IT統制ガイダンス。正式名称は『システム管理基準 追補版（財務報告に係るIT統制ガイダンス）（案）』）を知らないという方は案外多いかもしれません。

　2006年6月7日に「金融商品取引法」が成立し、上場企業は2009年3月期以降の財務報告から、財務諸表とともに、内部統制報告書の提出が義務付けられたことは周知のとおりです。

　この「内部統制の仕組みを構築」する際のガイドラインとなるのが、金融庁の企業会計審議会内部統制部会が作成した『実施基準』です（正式には「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」2007年2月中に正式版公開予定）。このガイドラインの特徴は、内部統制の仕組み構築に「ITへの対応」を挙げて、文書全体の7分の1ものページを割いて作業の軽減や効率化に配慮している点が挙げられます。

　しかし、内部統制の仕組みの構築において、ITの利用はあくまでも手段の1つであるため、具体的な作業内容や詳細な例示の記述はわずかです。そこで経産省は、企業が内部統制の仕組み構築においてITを利用して行うための指南書として「IT統制ガイダンス」を作成しました。

■1分 － 経産省の「IT統制ガイダンス」ってなんだ？

　経産省が作成した「IT統制ガイダンス」とは、金融庁が進めている日本版SOX法対応のガイドライン「実施基準」に対して、「ITへの対応」の主なケースを想定し、IT統制に関する概念や経営者評価、導入ガイダンスなどを示したものです。
- PR -

　日本版SOX法への対応において、財務報告に係る内部統制で求められている「ITへの対応」を行う必要に迫られている企業に対して、IT統制に関する考え方や経営者評価、導入ガイダンスなどを具体的かつ詳細に例示することを目的としています。

　つまり、IT統制ガイダンスは、日本版SOX法における「ITへの対応」に関する考え方や導入方法などを、具体例を挙げて指南しているガイドラインであるといえます。

　約150ページから構成されるIT統制ガイダンスの内容は、作成の背景などに言及した“まえがき”に始まり、第II章「IT統制の概要について」と第III章「IT統制の経営者評価」を理論編として、IT統制についての基本的な枠組みを提供しています。

　第IV章「IT統制の導入ガイダンス（IT統制の例示）」は導入編として、IT統制を構築し評価するためのガイダンスであり、全社的統制や全般統制、業務処理統制ごとにIT統制の例を具体的かつ詳細に説明しています。

　“付録”では、付録1のシステム管理基準追補版とCOBIT、JICPAのIT委員会報告第3号、ITILなど参考となるほかの基準との比較・対応や、付録2のシステム管理基準の管理項目と統制目標の対応（例）、付録4の評価手続きなどの記録および保存における保存期間や保存対象とする内容、付録5のサンプリングの手法やサンプル件数の例、付録6のリスクコントロールマトリクスの記述例など実務作業における有効な例示が数多く記述されています（図1）。図1：IT統制ガイダンス（案）：第I章 本追補版の構成と用語について

出所：経済産業省 システム管理基準 追補版（財務報告に係るIT統制ガイダンス（案））
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207003&OBJ

■2分 － ガイドラインとガイダンスの違いはあるの？

　では、金融庁の「実施基準（ガイドライン）」と、経産省の「IT統制ガイダンス」の違いとは何でしょうか。それは、実施基準（ガイドライン）が法律を守るべき基本的な規範（ルール・縛り）を示していることに対して、ガイダンスが考え方や進め方についてその具体例を挙げて対処方法を指南しているところにあります。
- PR -

　つまり、金融庁の「実施基準（ガイドライン）」は日本版SOX法への対応を前提とした内部統制の仕組みの構築や財務報告に係る評価、経営者評価、監査の規範について守るべきことを説明しています。企業によってどのように対応するかは個々に判断が異なるため、具体的な内容について言及できないという事情もあります（詳細な言及をすると仕組みが形骸化して、本来の目的である財務報告の信頼性と乖離したものになりかねません）。

　一方、経産省のIT統制ガイダンスでは、こうした状況を踏まえて“まえがき”に「財務統制に係る内部統制を念頭に、主要なケースを想定しつつ、IT統制に関する概念、経営者評価、導入ガイダンス等を示したものである」という説明が書かれています。あくまでも主要なケースとして、例示したものであるという姿勢でありこの内容に沿ったものが、すべての企業にとって必ずしも正解とはならないと断っています。

■「ガイドライン（実施基準）」と「ガイダンス（IT統制ガイダンス）」○ガイドライン（実施基準）：規範となる考え方

　金融庁 企業会計審議会内部統制部会「実施基準（公開草案）」

　実施基準とは、日本版SOX法に対応する際に必要になる内部統制報告書を作成・評価・監査する際の指針（ガイドライン）となる「基準案」の内容を、実務支援のためにより詳細に説明した文書。
2006年11月21日に基準案（草案）が公開された。
（http://www.fsa.go.jp/news/18/singi/20061121-2.html）

2007年1月31日の部会で草案に対するパブリックコメントとコメントに対する考え方が協議され、その修正版が公開された。この内容が正式版として2007年2月中に登場する予定。
（http://www.fsa.go.jp/singi/singi_kigyou/siryou/naibu/20070131.html）
○ガイダンス（IT統制ガイダンス）：指南書、主要なケースの例示

　経済産業省 商務情報政策局情報セキュリティ政策（問い合わせ先）

「システム管理基準 追補版（財務報告に係るIT統制ガイダンス）（案）」2007年1月19日公開

　金融庁が進めている日本版SOX法対応のガイドラインに対して、「ITへの対応」における主要なケースを想定してIT統制に関する概念や経営者評価、導入ガイダンスなどを示したもの。
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207003&OBJ

■3分 － IT統制ガイダンスの使い方

　「IT統制ガイダンス」の内容は約150ページにも及ぶ詳細なものですので、IT担当者向けの指南書としては、非常に有効な資料であると思います。しかし、IT統制への対応について「実施基準（ガイドライン）」がIT担当者の個々の作業内容まで言及しているわけではありませんので、一般的にはいくつかのIT統制の枠組みを参考にして作業を進める必要があります。
- PR -

　例えば、IT全般統制の代表的な枠組みには、ITガバナンス協会の「COBIT」があります。財務報告に係るIT統制については、日本公認会計士協会の「IT委員会報告第3号」や、ITガバナンス協会の「IT Control Objectives for SOX 2nd Edition（IT統制目標.V2）」があります。また、ITの運用管理については、英国商務局の「ITIL」などが挙げられます。経産省のIT統制ガイダンスは、こうした枠組みとほかの基準との比較表が示されており、混乱しやすい内容の整理・分類にも有効です（図3）。図3：システム管理基準とほかの基準との比較表

出所：経済産業省 システム管理基準 追補版（財務報告に係るIT統制ガイダンス（案））
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207003&OBJ

　また、“付録”には、ほぼそのまま利用できる懇切丁寧な文書類の例が説明されています。「実施基準（ガイドライン）」では、いま一つ具体的な成果物イメージがつかめなかったため、「IT担当者の作業内容や作業量の想定ができない」といった声が多かったのですが、IT統制ガイダンスを参考にすれば、対応作業への落とし込みを想定しやすくなると思います。

■4分 － IT統制ガイダンス利用上の注意点は？

　一見良いことずくめのように見えるIT統制ガイダンスなのですが、利用する際の注意点もいくつかあります。

　先にも紹介しましたが、IT統制ガイダンスは約150ページにも及ぶ膨大な内容です。まず、中堅中小企業のIT担当者にとって、これだけ詳細な内容に対する作業が物理的に可能であるかという疑問があります。
- PR -

　金融庁が作成した「実施基準」の内容が、米国SOX法のガイドライン（PCAOB作成の監査基準第2号）に比べて簡素である理由として、過剰だといわれている米国SOX法における対応作業の二の舞を避けるため、“経営者を主体とした仕組み構築を目的とし、監査法人との協議を重視している”ことが挙げられています。これは、日本の状況を踏まえ敵対監査に備える重装備な文書化や、対応作業付加を軽減するためと説明されていますが、IT統制ガイダンスはこうした考え方からすると、詳細過ぎるという見方もできます。

　また、IT統制ガイダンス第III章IT統制の評価の2.-（4）-2「ITと組織区分の相違について」では、IT基盤が「連結ベースの売上高等に基づく重要な事業拠点」の組織区分とは一致しないケースが説明されています。

　つまり、これは重要な事業拠点の対象範囲と、IT統制の必要なアプリケーションシステムの対象範囲が異なることがあり得ることを意味しています。具体的には、売上高に直接関連する販売プロセスにひも付くシステムと、連携する出荷業務を行う物流管理システムやサーバなどを預かるデータセンタなどが該当します（図4）。図4：第III章：図表III.2-1 ITの評価範囲の例

出所：経済産業省 システム管理基準 追補版（財務報告に係るIT統制ガイダンス（案））
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207003&OBJ

■5分 － つまり、IT担当者のための実務指南書

　日本版SOX法は、「ITへの対応」を明確にうたっています。これは、上場企業の内部統制の仕組み構築や、その運用を最適化する手段としてITの利用を重視しているのですが、ITの利用はあくまでも対応の手段であり、ITの利用が日本版SOX法対応を保証するものではありません。
- PR -

　しかしながら、ITの利用は企業の内部統制の仕組みを構築し、これを効率良く運用するための手段として、有効な手段であることは疑いようがありません。IT統制ガイダンスは、こうした作業を進めるための実務指南書としてIT担当者が身近に参考にできるノウハウ集であり、道標であると思います。

　IT統制環境の整備については、システムの不足機能への対応や対応ツールの選定に追われることが多いのですが、判断に迷った際に参考書として、IT統制ガイダンスをひもといて本質を見直してみてはいかが でしょうか。