実施基準から日本版SOX法を読む− 内部統制の構築とその評価について | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.22(火)

実施基準から日本版SOX法を読む− 内部統制の構築とその評価について

特集 特集

米国企業改革法(SOX法)が世界的にも注目され、英国、フランス、韓国等でも同様の制度を導入し始めているようです。日本でも2008年4月以降に始まる事業年度より、「内部統制の整備」を求めるいわゆる日本版SOX法が制定されました。日本版SOX法は通称で、証券取引法の抜本改正である「金融商品取引法」の一部規定がこれに該当します。実際に企業が行う「実施基準」も正式に公表され、金融庁では実施基準をより詳細に解説するものとして、政省令などのガイドラインが出てくるとの見通しを示しています。 また、企業への負担を考慮した中小企業への適用延期は、なさそうです。

企業が日本版SOXに対応していくためのフレームワークである「実施基準」は、1「内部統制の基本的枠組み」、2「財務報告に係わる内部統制の評価及び報告」、3「財務報告に係わる内部統制の監査」から構成されています。実施基準では、例を示すなど、かなり踏み込んでガイドするものになっておりますので、特に1、2を中心にその概要を説明し、日本版SOX法の理解に資したいと思います。

■1.内部統制の基本的枠組み(実施基準I章)

内部統制についての目的と内部統制を構成する基本的要素や財務報告に係る内部統制の構築について述べています。

(1)目的と基本的要素
内部統制の目的と基本的要素は、よく立方体で示されるものです。

図1:内部統制の目的と基本的要素(後述 図2含)
https://www.netsecurity.ne.jp/images/article/jsox01.pdf

内部統制の目的としては、「業務活動の有効性」、「財務報告の信頼性」、「関連法規制の遵守」、「資産の保全」を挙げています。それぞれ固有の目的ですが、互いに独立したものではなく、密接に関連しています。金融商品取引法では、財務報告の信頼性を目的として、有効な内部統制を求めています。しかしながら、財務報告は、組織の業務全体と密接不可分の関係にありますから、目的相互間の関連性を理解した上で内部統制を構築し運用することが望まれます。

内部統制を構成する基本的要素は、「統制環境」、「リスクの評価と対応」、「統制活動」、「情報と伝達」、「モニタリング」、「ITへの対応」からなり、この6つの基本的要素がすべて適切に整備および運用されることが重要で、内部統制の有効性を判断する際の評価基準となるものです。

(2)内部統制の構築
ここでは,前段で記述された内部統制の目的と基本的要素に照らし、内部統制の構築に関して重要となる点を6つの基本的要素に対して全体で16の関連項目を列挙しています。

図2:内部統制の構築で重要となるポイント(前述 図1含)
https://www.netsecurity.ne.jp/images/article/jsox01.pdf

内部統制の構築について一般的な手続きが例示されていますが、まずは実際に行われている内部統制の整備状況を把握し、リスクとその対応を把握する必要があります。そのために、組織の重要な各業務プロセスについて、取引の流れ、会計処理の過程を図表を活用して把握することが薦められています。

■2.内部統制の評価(実施基準II章)

経営者は自社内に内部統制を構築した後…

東京大学 国際・産学共同研究センター
【執筆:客員教授 林誠一郎】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込> http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  10. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×