日本版ＳＯＸ法におけるＩＴ対応戦略

2005年12月8日、金融庁から（通称）日本版ＳＯＸ法の指針「財務報告に係る内部統制の評価及び監査基準案」（基準案）が公表され、内部統制の概念的な枠組み、財務報告に関連する内部統制の有効性について、経営者による評価と監査人による監査の義務化が示された。この基準案は、証券取引法改正（金融商品取引法の一部）として、2009年3月期から適用開始の予定である。企業は経営者による財務報告に係る内部統制の評価が求められるため、早急な対応が望まれる。

基準案では、現在の企業経営におけるＩＴの重要性を考慮し、ＩＴを内部統制の最重要課題の１つに位置付けている。では、企業はどこにポイントをおいて「ＩＴへの対応」を進めるべきであろうか。

各企業は、1.経営者による内部統制の整備・運用、2.経営者による財務報告に係る内部統制の評価、3.監査人による財務報告に係る内部統制の監査、これらのフェーズに対応するために、業務プロセス、情報システムとそのリスクを可視化し、さらに統制、評価、改善の結果を可視化すること（可視化のＰＤＣＡサイクル）が必要になる。そのために、内部統制の整備そのものを情報システム自らが説明できる仕組みを構築することが望ましい。

今回の基準案で評価・監査が求められるのは、内部統制の目的の１つである「財務報告の信頼性」の部分だけである。しかし、可視化はＢＰＲ（※１）につながる。基準案への対策をＢＰＲも含めて取り組むことにより、監査のための内部統制だけではなく、内部統制のほかの目的である「業務の有効性・効率性、法令遵守、資産の保全」を達成することが可能となるであろう。

（※１）ＢＰＲ：Business ProcessReengineering