■内部統制の評価と報告、監査
　前回、11月上旬に日本版SOX法に関連する内部統制の実施基準案が公表されたことをお伝えしました。こうした文書が公表されるのは今回がはじめてではありませんが、日本版SOX法は大きく2つの点で、これまでの内部統制に対する経営者の姿勢に変革をもたらすものと考えられます。
　1つは、内部統制の評価と報告、そして監査が法律により義務づけられたことでもたらされるものです。日本版SOX法により、経営者は内部統制（財務報告の信頼性を確保するための内部統制）が有効であるかどうかを評価し、報告することが義務づけられました。これにより経営者は「当社の内部統制は有効です」という内容を記した「内部統制報告書」という文書を公表しなければなりません。このような評価と報告は、企業内部だけではなく、外部に委託している業務や、子会社についても対象となる可能性があることにも注意する必要があります。
　そして、経営者の公表する「内部統制報告書」は、公認会計士の監査を受け、内部統制の評価をきちんと実施したかについてのチェックを受けなければなりません。そのため、今まであいまいになっていた規定や仕組みを含め、業務プロセスの全面的な見直しが必要になることは明らかです。今後は、業務プロセスをフローチャートや文書としてまとめ、それに応じた内部統制の内容などを明文化する必要が出てくるでしょう。

■ITへの対応
　もう1つは、内部統制の構成要素として新たに「ITへの対応」が盛り込またことです。内部統制は、基準案では「統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング（監視活動）およびIT（情報技術）への対応の6つの基本的要素から構成される」と定義されています。従来は、ITを除いた5つの要素で構成されるものと定義されていました。また、余談ですが「ITを基本要素として明示すべきかどうかについてはかなり議論になった」そうです（基準の作成に関わった大学教授のお話）。
　ITに関しては、具体的には「IT環境への対応」「ITの利用」「ITの統制」という3つの観点からの対応が求められています。社会や市場、業界として、ITがどこまで浸透し利用されているのかを把握し（IT環境への対応）、それぞれの企業がそれぞれのITの利用方法を規定し（ITの利用）、ITによって内部統制を担保する仕組みを整える（ITの統制）ことが求められてます。
　このうち「ITの統制」として、システムの保守・運用・管理やシステムへのアクセス管理、入力情報の修正権限の厳格化などが求められており、これが「どこまで管理しなければいけないのか」「システムの全面的入れ替えが必要なのか」と多くの担当者を悩ませる結果となっているようです。
　しかしながら、基準案によれば「（上記のような管理は）手作業により実施することも可能であるが、システムに組み込むことにより、より効率的かつ正確な処理が可能となる」のであり、「新たなITシステムの導入を要求したり、既存のITシステムの更新を強いるものではない」としている点には留意しておくといいでしょう。ITに限らず、内部統制は一律に規定されるようなものではなく、それぞれの企業にあった形で整備すべきものなのです。
　次回は、「それぞれの企業にあった形」とはどういうことかについて考えていくことにいたします。