シンガポールのビジネス情報サイト AsiaXビジネスTOPJ-SOX(日本版SOX法)とは? 何をしなければいけないの?

企業IT・システム相談

2007年6月4日

Q.J-SOX(日本版SOX法)とは? 何をしなければいけないの?

J-SOX(日本版SOX法)とは?

Q.  J-SOX(日本版SOX法)とは?いつから施行されるの?

J-SOXとは、一言で言えば、日本での株式上場企業に対する財務報告の信頼性確保のための内部統制の義務化である。2008年4月1日より施行。

 

Q.  私の会社は影響あるの?

日本で株式を上場している会社およびその連結子会社は当然のことながら、それ以外の子会社、関連会社でも評価対象範囲に組み入れられる可能性が高い。評価対象となる会社から業務委託を受けている非上場企業も要注意。取引先から内部統制の構築を求められたり、内部統制報告書の提出を求められる可能性がある。対象とはならない企業でも体制を整えておけば取引上有利になると考えられるため自主的に行う会社もある。

 

Q.  だれがチェックするの?

監査人(監査法人または公認会計士)が財務諸表監査と内部統制監査を行う。

 

Q.  どうやってチェックするの?

米国SOXでは、外部監査人が直接その会社の内部統制の整備・運用状況を監査する。J-SOXでは、経営者が作成した内部統制報告書を監査人がチェックする。問題がある場合はそのレベルに応じ、不備、重要な欠陥ありと評価される。

 

Q.  重要な欠陥があるとされたら?

内部統制報告書に記載の上、監査人の監査意見と共に公表される。株価に影響が出たり、その欠陥のために損失が出たと判断される場合、経営者は株主から損害賠償を請求されることも考えられる。報告書を提出しなかったり、虚偽の記載が発覚すれば高額の罰金や懲役刑も有り得る。

 

Q.  IT関連の統制については?

J-SOXで注意すべき点は、単にIT関連業務の内部統制が求められているだけではなく、ITが全体の内部統制に有効に活用されているかどうかも評価の対象になる。

IT統制は、IT全般統制、IT業務処理統制の2つに分けられる。

 

  1. IT全般統制
    ハードウェア、ネットワーク環境、ソフトウェアの導入管理、ファイルサーバー、データベース等が企業内情報インフラストラクチャーとして適切に構築・統制されているか
  2. IT業務処理統制
    業務処理の安全性、正確性を確保するための運用面での統制。承認手続、ヒューマンエラーに対する対応等、人的部分まで含めた統制を考える必要がある。

 

IT関連については、企業内のITガバナンス、IT統制についてそのレベルを評価する枠組みがある。ISACA(Information Systems Audit And Control Association)がまとめているCOBIT(Control Objectives for Information and related Technologies)である。

 

ITの導入から運用に至るまでP(企画・計画)、D(構築)、C(実行)、A(評価)の4段階のプロセスにまとめ、さらに管理プロセスごとに必要となる34のITプロセスをまとめている。それぞれのITプロセスを5段階で評価するための評価基準も述べられている。J-SOXとは関係無く、これからITシステムの再構築、新規構築を考えている企業にとっても参考になる。また、それをどのようにSOXに応用していくかについてもドキュメントがまとめられている。原文および日本語訳については「日本ITガバナンス協会 – 資料のダウンロード」から参照できる。

 

参考サイト

この記事は、シンガポールの日本語フリーペーパー「AsiaX Vol.099(2007年06月04日発行)」に掲載されたものです。
取材協力=ヒューミント 川田康廣
本記事は一般的情報の提供のみを目的として作成されており、個別ケースについて、正式な助言なく、本情報のみに依存された場合は責任を負いかねます。

おすすめ・関連記事

シンガポールのビジネス情報サイト AsiaXビジネスTOPJ-SOX(日本版SOX法)とは? 何をしなければいけないの?