日本版SOX法の施行による内部統制と個人情報保護(2)SOX対応を企業が実現するために必要な内部統制 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.22(金)

日本版SOX法の施行による内部統制と個人情報保護(2)SOX対応を企業が実現するために必要な内部統制

特集 特集

前回では米国SOX法、情報システムへの影響、そして日本版SOXの動向について説明した。今回は日本版SOX法(以下SOX法)で特に情報システムに影響を及ぼす「内部統制」を取り上げる。内部統制とは、経営陣が組織の内部を維持して統制することをさす。

内部統制する方法は、経営者によってやり方が異なる。ある経営者は、頭の中に理想的なモデルを描きながら、各担当者へ的確に指示を出す。別の経営者は、過去に作成された社内規程に沿って、組織を運営しているかもしれない。しかし、国内外で、企業の粉飾決算や不正処理が後を絶たない。そこでSOX法によって、内部統制を法制化する運びになったのである。

それにしても、どうして法制化することになったのだろうか。次のようなケースを考えてみれば、理解できると思う。あなたが投資家で、財務状況を見て、企業Aに出資した。その後、企業Aの不法行為が発覚した。経営者は「我、関せず」を貫き、不法行為を知らなかった為に、責任を逃れることができた。その結果、責任を逃れた経営者は高額な役員報酬を受け取ったが、投資家は企業の業績が悪化して、不利益を被った。これでは不公平であり、効果的な対策が必要なことが明らかとなった。

米国では内部統制の評価基準となる枠組みとして、COSOフレームワークを作成した。これは後に米国のSOX法に盛り込まれていった。英国は、過去に投資家の信頼を裏切る事件をきっかけに、内部統制の評価基準となるターンバル・ガイダンスを作成した。各国で内部統制に対する要求が高まり、企業を統治する経営陣は、企業としての社会的責任はもちろん、財務状況にも責任を負わせる必要性が生じたのである。

●健全な内部統制とは

チェックポイント
CP1:内部統制の目的は?
CP2:内部統制の基本的要素は?

内部統制が重要であることは、ほぼ各国の共通認識となった。しかし、米国のCOSOフレームワーク、英国のターンバル・ガイダンスのように、内部統制が作成された時期、企業を取り巻く状況によって差がある。

日本版SOX法では、組織を維持し、管理する「健全な内部統制」を達成するために、4つの目的(業務の有効性及び効率性、財務状況の信頼性、事業活動にかかわる法令順守、資産の保全)がある。これら4つの目的を達成していれば、SOX法に対応したことになるが、その為には、6つの基本的要素(統制環境、リスクの評価と対応、統制活動、情報の伝達、モニタリング(監視)、ITの利用から内部統制が構成されている必要がある。日本固有の基本的要素として、「ITの利用」も盛り込まれている。しかし、ITをどのように利用すべきなのか、明確に要求していない。

米国SOX法対応ではITの利用が欠かせなかった経緯もあって、ITの利用次第では企業の負担を軽くできるコツがある。既に、内部統制を支援するツール、監査システム、変更管理システムが登場している。

(SOX法を実現するイメージ)
https://www.netsecurity.ne.jp/img4/SOX-2.jpg

CP1情報:
COSO(Committee of Sponsoring Organizations of the Treadway Commission)は1992年、1994年に分けて発表されている。一方、ターンバル・ガイダンスはイングランド・ウェールズ勅許会計士協会(ICAEW)が1999年に作成し、2003年に改訂された。

CP2情報:
統制環境:企業内で内部統制が効率よく実施できるように環境を整えることで、具体的には経営者の統制に関する方針、従業員に対する内部統制への意識付けなどを指す。

リスクの評価と対応:リスクを識別して、評価されたリスクへの処置することで内部統制を確立させること。

統制活動:経営陣の指示が実行できるようにすることで、指示書、手順書などで確認することができる。

情報の伝達:必要な情報が必要な人に伝えられる仕組みで、定期的な会議、電子掲示板等が使用される。

モニタリング(監視):内部統制が決められていても、機能しない場合に備えて、継続的に監視すること。

ITの利用:ITを活用した内部統制として、全体的な活動を確認する全般統制と、個別の業務別に実施する統制に分けられる。

【執筆:古川泰弘(神奈川大学 非常勤講師)】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込> http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. ISMS認証とは何か■第1回■

  7. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  8. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  10. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×