企業ITとIT内部統制の必要性
日本版SOX法の目的と要素
米国において相次いで発生した企業会計における不正に対応するため、米国サーベンス・オクスリー法(企業改革法:SOX法)が2002年7月末に成 立した。同法では、外国企業であっても、米国証券取引所に上場している場合などには原則としてこれらの規制の適用対象になるとしている。またこの流れは、 欧州や日本を含むその他の先進国の上場規則などにも大きな影響をおよぼしつつある。
日本国内でも粉飾決算などの事件が相次いだことや、資本市場のグローバル化などを受けて2005年7月、金融庁が主宰する企業会計審議会内部統制部 会が「財務報告に係る内部統制の評価及び監査の基準」の草案を、そしてパブリックコメントを受けて同12月に基準案を公表した。新聞などでは、当初は 2008年3月期からの導入が予定されていると報道していたが、最近では2009年3月期からの適用という見方が一般化している。
同基準案では、基準の目的として「業務の有効性および効率性」「財務報告の信頼性」「事業活動に関わる法令等の遵守」「資産の保全」の4つをあげている(図1)。
しかし、このなかで「業務の有効性および効率性」および「資産の保全」は、有効性への疑問や経済的負担から基準導入に反発する経済界および企業に対 する方便という側面を持っており、実質的には「財務報告の信頼性」向上が目的の中核であると解釈することが現実的であろう。つまり、粉飾決算や虚偽の情報 開示が起こらないように企業内に内部統制の仕組みを組み込むことを求める法案であるといえる。
また、基準案では「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「ITの活用」の6つが基本的要素として定義され ており、ITの利用が明言されている点が米SOX法と異なる。基準案では、経営者は自社のすべての活動および社内のすべての従業員などの行動を把握するこ とは困難であり、それに代わって経営者は企業内に有効な内部統制のシステムを整備・運用することにより、財務報告における記載内容の適正性を担保すること が求められると述べられている。
また、経営者は内部統制を整備・運用する役割と責任を有しており、財務報告にかかわる内部統制については、その有効性を自ら評価し、その結果を外部 に向けて報告しなければならないとある。そのため日本版SOX法は経営者による「内部統制報告書」の作成を義務付けている。
さらに、経営者による財務報告に係る内部統制の有効性の評価は、その評価結果が適正であるかどうかについて、当該企業などの財務諸表の監査を行って いる公認会計士(監査人)が監査することによって担保されると述べており、監査人による「内部統制監査報告書」の作成が義務付けられる。