内部統制(J-SOX)のまとめ

日本版SOX法の施行に向けて、たくさんの実践的な情報が集まるようになってきました。学術的レベルにあり手探りの状態から、メーカーやベンダーが出してきた製品をベースに具体的なソリューションがイメージできるレベルになったようにも思います。まだ供給側の理論に止まっているところもありますが。
また、WEBサイトも充実してきたと感じています。日経BPがオープンしている”内部統制.jp”はまとまった情報を入手できるスペースですので、私も活用しています。
さて、肝心の政府からの情報が少ないのが一番やっかいなところです。特に、実施基準の公表が遅れていることは危機的ともいえる状態です。施行する側の方針が固まっていないことは、今後の運用にも支障が出ることは確実です。春から夏に延期され、今度は年末公開予定になるようです。
なんだかんだ言っても施行は目の前。
やるべきことをやって準備しておくこと。これしかありません。
■内部統制.jp
　日経BPによる内部統制に関するポータルサイト
■日本版SOX法の内部統制「実施基準」策定に遅れ、12月公表の可能性も［日経情報ストラテジー］

上場企業の内部統制整備にかかわる「実施基準」の確定・公表の時期が従来の予定より遅れることが、6月6日に明らかになった。実施基準については現在、金融庁の企業会計審議会内部統制部会が策定作業を進めている。複数の部会関係者によると、実施基準の確定は早くても今年9月ごろ、遅ければ12月ごろになる模様だ。7月ごろに「公開草案」を公表し、広くパブリックコメントを募ったうえで、年内に最終版を確定する可能性もある。

■新会社法でリスク管理は全企業の必須科目に［nikkeibp.jp SAFETY JAPAN］

本年５月施行予定の新会社法、「株式会社の業務の適正を確保する体制に関する法務省令」に「損失の危険の管理に関する規程その他の体制」と記されている。これは「リスクマネジメントの規定と体制を構築しなさい。」ということを意味している。
この法制化により、大企業は当然として中小企業までリスクマネジメントに取り組まざるを得なくなることは間違いない。

　　★★★★★★★★★★★★★★★★★★★★★
■「内部統制」の先行企業が説く“失敗しないためのカギ”［ITpro］

いわゆる日本版SOX法（金融商品取引法）がこの6月に成立し，2008年4月以降の事業年度（2009年3月期）からの適用が迫ってきた。これに先立ち，今年5月には会社法が試行されている。企業は今後，財務報告の不正を回避するべく，業務プロセスやそれを支える情報システム，あるいはシステム開発体制そのものの改善に向けて，具体的な取り組みを始めなければならない。

■「日本版SOX法対応」でやるべきことはハッキリしている［日経コンピュータ］

「日本版SOX法への対応が必要」と言われても，いったい具体的に何をすればよいのか。今ひとつ，ピンと来ない――。このように頭を悩ませている情報システム部門の担当者が少なくない。
　財務報告の適正性を確保するために上場企業に対して内部統制の整備を求める，いわゆる「日本版SOX法」が適用されるのは，2008年4月以降に始まる事業年度から。うかうかしていると，あっという間に“本番”が来てしまう。
　ところが，現時点では「日本版SOX法対応とは何か」を説明した公式の教科書に相当するものは存在していない。ここでいう教科書とは，金融庁企業会計審議会 内部統制部会傘下の作業部会が作成している「実施基準」を指す（後述）。
　その教科書が出てこない限り，日本版SOX法にどう対応すべきかが分からないのか。日経コンピュータ9月4日号特集「J-SOX（日本版SOX法）狂想曲」の取材で，米SOX法（企業改革法）または日本版SOX法対応を進めている企業のシステム部門のマネジャ，さらに内部統制のコンサルタントや公認会計士に話を聞いたところ，どうもそうではないようだ。むしろ，システム部門が日本版SOX法に対応するうえで，やるべきことはハッキリしていると言うべきだろう。
　その内容を単純化すると，「システム部門の業務を見直して，問題点を洗い出す。そのうえで，これまでやってきたことをより徹底したり，やるべきだと自覚しているがまだ手を付けていなかったことを実行する。同時に，監査用の文書を作成する」となる。ある製造業のシステム部長は，「『日本版SOX法への対応は大変』とIT業界は大騒ぎしている。だが，やるべき内容を聞く限り，これまで情報システム部門がやってきたこととほとんど変わらない。日本版 SOX法対応とは，基本をしっかりやれということだと考えている」と話す。

■IT部門が日本版SOX法に振り回されないためには［日経情報ストラテジー］

内部統制を整備するうえで、CIOやIT部門が担う役割は、大きく2つある。「業務処理統制」と「IT全般統制」である。
　簡単に説明すると、業務処理統制はアプリケーションの業務フローのなかで財務的な不正が発生しないように処理を修正すること。一方、IT全般統制は不正が発生する可能性のある処理がシステムに実装されないように、開発・運用体制のガバナンスを整備すること、すなわちITガバナンスのことだ。
　このうち、IT全般統制を軽視すると、これから先、監査のたびにゼロから業務処理統制、すなわちアプリケーションの業務フローの棚卸しと修正を実施し続けなくてはならなくなる。日々のシステム開発・運用のなかで不正が発生する可能性を否定できなくなるからだ。
　金融商品取引法が求める内部統制の主眼は、財務的な不正が発生しないことである。このため、内部統制のプロジェクトでは財務部や経理部が主導権を握ることが多い。

■「J-SOX対応はIT人材育成のチャンス」，ガートナーが力説［ITpro］

「J-SOX（いわゆる日本版SOX法）対応は，IT部門にとって千載一遇のチャンス。ビジネスと業務を把握してITの企画につなぐ，本来のIT部門が備えるべき能力を鍛える良い機会」。ガートナー ジャパンでコンサルティングを務めるバイス・プレジデントの宮本 認氏（関連情報）はこう力説した。

　　★★★★★★★★★★★★★★★★★★★★★
■“日本版SOX法”がついに成立、今後の焦点は実施基準の中身へ［CIOマガジン］

企業に対する「財務報告に係る内部統制の強化」を求める条項が盛り込まれていることから、“日本版SOX法”とも称されていた「金融商品取引法」が6月7 日、参院本会議で可決、成立した。これにより、上場企業は2009年3月決算期以降、財務計算に関する情報の適正性を確保するための体制についての評価報告書（内部統制報告書）を、内閣総理大臣に提出することが正式に義務づけられた。金融庁は同法の成立を受け、今後、内部統制報告にまつわる具体的な規定をまとめた実施基準を公表する予定だが、その公表時期は明らかにされていない。企業にとっては「期限は設けられたものの、具体的な対応策が見えない」という状態がもうしばらく続きそうだ。

■日本版SOX法の核となる「金融商品取引法」が成立［ITpro］

2006年6月7日、いわゆる日本版SOX法の核となる「金融商品取引法（証券取引法等の一部を改正する法律など）」が国会で成立した。金融商品取引法には、上場企業に内部統制システムの整備や、内部統制報告書を提出することを義務付ける条文が盛り込まれている。
日本版SOX法は一般的に、金融商品取引法に、金融庁の企業会計審議会内部統制部会が2005年12月に公表した「財務報告に係る内部統制の評価及び監査の基準案」と、同じく年内に公表する予定の「実施基準」の3つのことをいう。

■「日本版SOX法」が成立、2009年3月期から内部統制の報告義務［日経情報ストラテジー］

「日本版SOX法」の中核となる金融商品取引法が6月7日午前、参議院本会議において賛成多数で可決、成立した。同法は証券取引法などの一部を改正するもの。金融商品に関するルールを整備し、投資家保護を目指す。「村上ファンド」のような投資ファンドに対する規制を強化するほか、株式公開買い付け（TOB）のルールを整備するなど、幅広い内容を含む。
　上場企業に、財務諸表の内容の適正性を確保するための組織体制（内部統制）について評価した「内部統制報告書」を提出する義務を課すのも同法の大きな柱（第24条の4の4）。この規定は、「平成20年4月1日以後に開始する事業年度から適用する」（附則第15条）としており、3月期決算の企業では、2009年（平成21年）3月期から内部統制報告書を提出しなければならないことが法的に確定した。

　　★★★★★★★★★★★★★★★★★★★★★
■米国とはここが違う日本版SOX法［日経ビジネス］

日本企業に対し、内部統制の確立を迫る「日本版SOX法」の実体は、今のところ、1つの基準案と1つの法案から成る。
　基準案は、「財務報告に係る内部統制の評価及び監査の基準案」と言い、金融庁の企業会計審議会内部統制部会が2005年12月8日に案を公開した。この正式名称から分かるように、企業が内部統制の仕組みをきちんと設けているかどうかを、評価・監査するやり方の案を示したものだ。つまり、この基準案が、内部統制をせよと企業に命じているわけではない。
　企業に内部統制を求めるのが、3月10日に閣議決定した「金融商品取引法（投資サービス法）」である。同法は、金融商品を取引する際の各種ルールをまとめた広範囲な法律で、この中に、「内部統制」の義務化を株式公開企業に迫る部分がある。

■「米国ではSOX法の対象を見直す議論が起きている」—NRIの此本執行役員［ITpro］

「2002年にSOX法を施行した米国では，SOX法対応にコストがかかり過ぎることが問題視されており，法律の対象から中堅企業を外す議論も起きている」－－－。野村総合研究所（NRI）の此本臣吾執行役員（写真）は5月23日，「Microsoft Management Summit 2006 Japan」で「企業における内部統制基盤整備の進むべき方向」と題する講演を行い，米国における最新動向などを紹介した。

■「米国のSOX法対応で失敗した企業には共通点がある」—米ハイペリオンCTO［ITpro］

「米SOX法（企業改革法）に対応した米国企業にヒアリングした結果分かったのは、対応が持続できていない企業が多い、ということだ」。BI（ビジネス・インテリジェンス）ソフト・ベンダーの米ハイペリオンでCTO（最高技術責任者）を務めるジョン・コプキ氏は、こう指摘する。「内部統制監査を乗り越えることだけを考えて、その後のことを考えなかったのが原因だ」。

　　★★★★★★★★★★★★★★★★★★★★★
■日本版SOX法の導入準備を学べる“ITIL道場”開催［日経コンピュータ］

日本ヒューレット・パッカード（HP）は6月1日から、日本版SOX法の準備作業を支援するコンサルティング・サービス「ITIL道場－SOX法対応シミュレーション・ワークショップ」を開始する。四つの講義とワークショップから成る。2日間の日程で100万円から。

■「SOAと日本版SOX法への対応を強化」、日立がJP1を一新［日経コンピュータ］

日立製作所は5月31日、運用管理ソフト「JP1」の新版「JP1 Version8」を発表した。(1)SOA（サービス指向アーキテクチャ）を踏まえたモニタリング機能と(2)日本版SOX法（企業改革法）への対応を前提にしたIT全般統制関連の機能を強化したことが特徴だ。

■日立がJP1の新版を発売、構築・運用のパートナー制度も新設［日経ソリューションビジネス］

日立製作所は5月31日、システム運用管理ソフトの新版「JP1 Version 8」シリーズの販売を開始した。今回投入する新ソフトは、モニタリングや構成管理、コンプライアンス支援など13製品にわたっており、出荷は6月30日とする。「JP1は2005年度、前年比10％増の成長だった。今後も年10％以上の成長を目指す」（日立の中村孝男ソフトウェア事業部長）という。

■オラクル、内部統制強化に向けEMCと協業［CIOマガジン］

日本オラクルとEMCジャパンは4月19日、内部統制強化やコンプライアンス対策を目的にドキュメント管理分野で協業すると発表した。両社は今後、オラクルのコラボレーティブ・アプリケーション「Oracle Collaboration Suite 10g」とEMCのコンテンツ・アドレス・ストレージ（CAS）製品「EMC Centera」との連携を実現し、厳格なドキュメント管理を支援していく方針だ。