日本版SOX法、実施基準を待ってどうするの？（1/2 ページ）

6月の国会で日本版SOX法が成立。上場企業に、財務報告に関する内部統制報告書の提出が義務付けられた。しかし、どこまでやれば有効といえるのか。監査法人トーマツの丸山氏は、実施基準を待っては手遅れになりかねない、と話す。

[堀哲也，ITmedia]

　「実施基準を待ってどうするんですか？」――監査法人トーマツの丸山満彦氏（エンタープライズリスクサービス部 公認会計士 パートナー）は、日本版SOX法対応に戸惑っている企業に向けてこうアドバイスする。

　6月の国会で日本版SOX法（金融商品取引法）が成立。上場企業には、2009年3月期決算から財務報告に関する内部統制報告書の提出が義務付けられた。米国では、SOX法適用初年度に16％の企業が内部統制に不備があると報告されている。日本の上場企業は約4000社、この比率で換算すれば約600社が不備を報告してもおかしくはない。

　不備を報告しないためには早期の対策が必要だ。だが、いったいどこまでやれば内部統制は有効といえるのか。その基準は明確でない。今後公表される実施基準に期待をかける声も大きいが、「対策の期限は決まったのだから、待っていては手遅れになりかねない」。

監査法人トーマツの丸山満彦氏

　「IT部門が担う役割は大きい」――丸山氏は日本版SOX法の対応にはIT部門の活躍が欠かせないと話す。ITに依存して会計処理が行われている現在では、会計システムや販売システムなどに組み込まれた業務処理統制や、それらコンピュータ環境の内部統制が評価の対象になることは間違いない。しかし、有効とされる内部統制の深度が分からないために、具体的な対策に取りかかれずにいる企業も多い。

　「ITに関する対応は、是正作業。一連の対応作業の中でも最も時間がかかるところ。不備があるなら、早急に直していかなければ」（丸山氏）

IT統制は是正作業が中心。文書化ばかり注目を集めているが、必要な是正というのはすぐに取りかかれるところでもある

　早めに取り組めるポイントとして同氏が挙げるのが、全般統制だ。IT統制には、業務処理統制と全般統制の2種類がある。中でも、開発、運用、保守のルールやセキュリティといった、どのシステムにも共通して求められる統制が全般統制と呼ばれる。「販売システムや購買システム、人事システムなど財務に関連するシステムはすぐに明確になるはず。これらが動いているOSやデータベース、アプリケーションのアクセス管理は早期に取り組める」。