2008/09/25企業リスクとIT統制 <第1回>
<Sarbanes-Oxley Act (SOX法)が制定された背景>
エンロンが不正な会計処理を行い2001年12月に倒産し、その後、不正会計疑惑や経営トップを巻き込んだ企業スキャンダルはエンロン1社にとどまらず、ワールドコム(2002年7月倒産)など多数の上場企業に波及しました。
これらの不正をきっかけに、「資本市場においては、株式を公開している企業が、投資判断に必要な経営や財務に関する情報を投資家に提供し(Accountability)、監査人がその適正性を監査することにより、それらの情報に基づいて投資家がその企業に対して投資を行う」という前提が揺らぐこととなります。
ここで、一連の企業不祥事によって低下した投資家の資本市場に対する信頼を回復させることを目的に、 通称:Sarbanes-Oxley Act (SOX法)「上場企業の会計改革(情報開示の正確性と信頼性を向上)と投資家の保護を図るための法律(Public Company Accounting Reform and Investor Protection Act of 2002)」が異例ともいえるスピードで制定されました。(2002年7月)
このSOX法により、「財務諸表に重要な虚偽の記載が無いことを保証するための仕組み」を整備・運用することが求められるようになりました。
但し、財務報告に係る内部統制は、企業が管理・対応すべき様々なリスク(エンタープライズリスク:ERM)のうち、たった1つのリスク(財務諸表に虚偽記載が生じるリスク)に対する内部統制にしか過ぎません。企業には他にも考慮すべき重要なリスクが有りますので、営利企業として維持・繁栄するためには、他の内部統制も整備し運用する必要性があるのです。
<SOX法がもたらしたもの>
SOX法により、リスクマネジメントが義務化され、内部統制の整備・運用・評価が要請されるようになりました。また、米国のディスクロージャー文化を反映した自己証明の制度であるSOX法の導入により、不正についての議論がなされるようになったということも、SOX法がもたらしたものと言えるでしょう。
--------------------------------------------------------------
(SOX法がもたらしたもの)
■リスクマネジメントを義務化した
・リスクを識別、内部統制を整備・運用し、状況を評価することを、義務化した
■米国のディスクロージャー文化を反映した制度に直面した
・これまで日本は、ISO文化(欧州的マネジメントシステム)を構築してきたのに対しSOX法は、ポリシーを公開し、自らがポリシーに従っていることを自己証明するという、米国流の自己規律をベースにした制度である
■「不正」という議論しづらかったテーマが、表に出た
・権限を有した者の行為に対する施策が要請された
・権限者は、自己証明する必要が生じた
■文書化が義務化された
・自社のリスクおよびそれに対する内部統制の文書化(可視化)
・内部統制の評価結果を文書化(証明、証拠、記録の保持)
■内部統制の有効性を評価することが義務化された
・内部統制の整備状況・運用状況の有効性を評価(リスクの低減度の評価) ・外部委託先も評価の対象となる ・外部委託先の内部統制に依拠している場合には評価しなければならない
--------------------------------------------------------------
<SOX法と情報システムの関係について>
財務報告に係る内部統制を整備および評価するうえで、情報システムが対象となるのは、業務プロセスは情報システムに依存(依拠)しているからです。
多くの企業では、財務報告プロセス(決算プロセス)自体はもちろんのこと、最終的に会計情報として取り扱われる『取引』の発生・承認・記録・蓄積・集約・報告を行うプロセス(契約プロセス、購買プロセスなど)が、コンピュータやアプリケーションプログラム、その他のソフトウェアや関連機器によって遂行されています。従って、アプリケーションやシステムに、取引がデータとして入力され、処理され、最終的に情報としてアウトプットされるまでの自動化されたプロセスの正確性を保証する様々な内部統制は重要となります。例えば、情報システムからアウトプットされた情報を特に誰も検証していない場合には、システムに100%依存しています。こうしたケースでは、情報システムやアプリケーションにプログラムされた統制機能が、財務報告の内部統制を評価する上で非常に重要な役割を果たします。(ITアプリケーション統制)
また、情報システム環境には"固有のリスク"があります。情報システムの開発・運用は人(情報システム部門の要員、外部委託先の要員)が実施します。 万が一情報システム部門の要員が不正行為や逸脱行為を行えば、プロセスとデータの正確性に直接的な影響を及ぼす可能性があります。従って、財務報告に係る内部統制を評価する際には、情報システムの開発・運用プロセスに関連するリスクも考慮する必要があります。(IT全般統制)
また、ITには、取引の発生・承認・記録・蓄積・処理・集約・報告、に関連した情報システムが適切であることを保証するための仕組みが求められます。
例えば、入力データが正しいこと、データ入力者は正当な権限を保有していること、入力データは承認者に承認された後にマスターデータに反映されること、入力データが正確に記録(記帳)されること、データが業務処理の意図通りに正しく処理されること、データが不正に改ざんされないこと、データが正しく出力(財務情報として集計)されることが挙げられます。
その他 ITを取り巻く環境に求められる要件として、例えば、ヒューマンエラーを回避するための業務IT化、マニュアルによるチェック(検証)の限界を補完するためのITの利用、コンピュータ自体への故意のあってはならない変更を加えることの防止、情報システムを開発・運用している情報システム部門の要員による不正・誤謬の防止が挙げられます。
これらの要素を考慮して、情報システムに内部統制(適切であるための仕組み)を組み込む必要があります。
[ 特集Top ]
