日本版SOX法ではKPIならぬ「Key Risk Indicator」が必要になる？（1/2 ページ）

[梅田正隆，ITmedia]

　2005年7月、金融庁が日本版SOX法の草案を公開した。草案にはITガバナンス、すなわちIT活用による内部統制の確立が明記された。内部統制とBIの関係について考えみよう。

　公開されたのは、企業会計審議会の内部統制部会で審議している「財務報告に係る内部統制の評価及び監査の基準（公開草案）」だ。これは、有価証券報告書など、金融庁所管の証券取引法上のディスクロージャーの信頼性を確保するため、企業における内部統制の充実を図ることを目的とし、公開企業における内部統制の枠組みおよび評価と検証に関する基準を策定したものだ。米サーベインズ＝オクスリー（SOX）法を意識した日本版企業改革法の下書きだ。

内部統制って何だ？

　そこで「内部統制とは何ぞや」という原点に立ち返る必要がある。1992年に公表された「不正な財務報告に関する全国委員会（後の米トレッドウェイ委員会組織委員会：COSO）」のCOSOレポート「Internal Control - Integrated Framework」の定義を借りれば、内部統制とは「効果的・効率的な業務活動、財務会計報告の信頼性、コンプライアンスといった異なる目的の達成に関し、合理的な保証を提供することを意図し、事業体に属する者（取締役、企業経営者、従業員全員）が実施しなければならないプロセス」となっている。

　つまり、ディスクロージャーの信頼性を確保するためには、内部統制が効いていることの合理的な保証が必要というわけだ。

内部統制をITでサポートする

　では、合理的な保証をどのように実現すればいいのか。金融庁の草案に戻ると、内部統制の目的は、業務の有効性及び効率性、財務報告の信頼性、コンプライアンス、資産の保全の達成にあり、内部統制の構成要素として「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「ITの利用」の6つを掲げている。

　そのうち、情報と伝達においては、組織目標および内部統制の目的を達成すべく、必要な情報を適切な者に伝達できるシステムの確保を求め、「モニタリング」においては内部統制の有効性を継続的に監視するよう求めている。

　また、ITの利用においては、運用管理／導入／開発／保守に至る「全般統制」と、個別の業務アプリケーションにおける正確な処理ならびに記録の確保といった「業務処理統制」を求めている。証券取引法上、財務報告する必要のある公開企業のIT部門は、ITインフラ管理から日常の業務処理に至るまで、内部統制の視座でモニタリングし、合理的な保証を提供することが求められるわけだ。