【ITキーパーソンインタビュー（4）】日本版SOX法とは何なのか？--監査法人トーマツ 丸山氏

監査法人トーマツ エンタープライズ リスクサービス部 公認会計士 公認情報システム監査人 丸山満彦氏

──日本版SOX法では、企業にどのようなことが求められるのでしょうか？

　日本版SOX法と言われているのは「財務報告に係る内部統制の評価と監査」の制度であり、決算書が正しく作られていることをどのように保証しているかが企業に問われます。いろいろなプロセスを経て損益計算書や貸借対照表などの財務諸表が作られている中で、その勘定科目1つひとつの金額が正しく、重要な誤りがないこと、そして作るプロセスも適切であることを証明する必要があります。それをまず企業の経営者が評価・報告して、さらに監査人が監査することによって、決算書の内容が正しく、かつ正しく作るための体制も整備されていることを保証していくわけです。

　これまでも監査法人による企業の財務諸表の監査は行われてきました。ただし、それはあくまで決算書の内容が正しいかどうか結果に対する監査です。昨今、日本でも粉飾決算などの問題がクローズアップされていますが、監査を行う際に会社側に意図的に情報を隠されてしまうと、それを見つけ出すのは非常に困難です。

　そこで、決算書を作るプロセスも含めて正しいことを経営者が証明し、監査法人はそこに誤りがないことを確かめなければなりません。つまり、結果とプロセスの両方を監査することによって、粉飾をしづらくし、誤りも少なくする、今回の制度にはそのような狙いがあるのです。

──企業内でも特に情報システム部門の対応が重視されているのはなぜですか？

　財務諸表を作る上でITの活用が強制されているわけではありませんが、現実的にはほとんどの企業が日々の業務をそろばんや電卓ではなく、コンピュータを使って作業しています。会計情報や業務情報をITで管理して、その情報を基礎として財務諸表を作成しているわけです。そこで、財務諸表を正しく作るためにはITの統制が重要となりますので、当然、情報システム部門の対応が求められてくるわけです。

　ITの統制は、「IT業務処理統制」と「IT全般統制」の大きく2つに分類されます。IT業務処理統制は、業務プロセスに組み込まれたIT統制です。これはたとえば、経費の不正な支払いを防ぐために、100万円以上の経費申請に対しては部長のみ承認権限を持っていたとします。この時、部長がチェックして承認しない限りは経理部門まで申請が回らないようにするといった承認システムを導入することが挙げられます。

　一方、IT全般統制は、IT業務処理統制が正しく有効に機能することを保証するものと言えます。たとえば先の承認システムの例では、部長だけが承認権限を持っていたとしても、申請者が簡単に部長になりすまして承認処理できるようでは意味がありません。そこで、承認システムが適正に運用されるように、IDやパスワード、指紋認証などによって確実に部長本人だけが承認できる環境を保証します。また、申請者がデータベースに直接アクセスして金額操作などができないようにするアクセス管理なども、IT全般統制では重要です。