Web教材一覧法規・基準

金融商品取引法と内部統制(概要)

金融商品取引法

金融商品取引法は、従来の証券取引法や金融先物取引法など金融商品(株式や証券など)の取引に関する多数の法律を整理統合した法律です。2006年に成立し、2007年に施行されました。短縮して「金商法」ともいいます。
「金融商品取引法」条文:http://law.e-gov.go.jp/htmldata/S23/S23HO025.html

第1条
 この法律は、企業内容等の開示の制度を整備するとともに、金融商品取引業を行う者に関し必要な事項を定め、金融商品取引所の適切な運営を確保すること等により、有価証券の発行及び金融商品等の取引等を公正にし、有価証券の流通を円滑にするほか、資本市場の機能の十全な発揮による金融商品等の公正な価格形成等を図り、もつて国民経済の健全な発展及び投資者の保護に資することを目的とする。

内部統制に関する条項

金融商品取引法は全体としては、金融商品の取引の公正化・透明化を目的としていますが、ここでは、財務報告の正確性確保のための内部統制に限定します。
  第24条(有価証券報告書の提出)
に内部統制に関する規定があります。

内部統制報告書(第24条の4の4)
(財務計算に関する書類その他の情報の適正性を確保するための体制の評価)として,「財務計算に関する書類その他の情報の適正性を確保するために必要なものとして内閣府令で定める体制について、内閣府令で定めるところにより評価した「内部統制報告書」を有価証券報告書と併せて内閣総理大臣に提出しなければならない」としています。
内部統制の監査(第193条の2)
(公認会計士又は監査法人による監査証明)として「内部統制報告書には、その者と特別の利害関係のない公認会計士又は監査法人の監査証明を受けなければならない」としています。

有価証券報告書とは財務報告書で,貸借対照表や損益計算書など企業の財政状態および経営成績を公表するものです。財務報告書は,多くの関係者に影響しますので,正しいことが求められます。
 ところが,実際以上に成績をよく見せようとする粉飾決算,脱税を目的とした逆粉飾決算が行われがちです。

このような不正行為は,多数の関係者に多大な損害を与えますし,資本主義の基盤を崩すことにもなりますので,法律で厳しく禁止されています。その一つとして,第三者である公認会計士による会計監査を行い,財務報告書が真実であることを証明することになっています。
 それにもかかわらず,不正な決算操作が行われています。会計監査だけでは不正操作が発見しにくいこともありますし,公認会計士がその不正に加担している事件もあり,大きな社会問題に発展しました。

それで,公認会計士による会計監査だけでなく,財務処理での誤りや不正が発生しないように,社内でも経営者が責任を持って内部統制の仕組みを整備すること,それが正しく運営されていることを経営者が評価して公表すること,さらに監査人がそれを監査することにしたのです。  上場会社を対象に、財務報告の信頼性向上のために,財務報告書とともに,
  ・経営者が財務に関する内部統制を行った内部統制報告書
  ・その報告書を監査人(公認会計士)が監査した監査証明書
の提出が義務づけられています。

米国では2001年から2002年にかけて,監査法人も加担して巨額な粉飾決算を行ったエンロン事件やワールドコム事件が発覚しました。それを受けて,「Public Company Accounting Reform and Investor Protection Act of 2002:企業改革法」(提出者の名前からSarbanes-Oxley Act:SOX法という)が制定されました。
 金融商品取引法の内部統制関連の条項は、このSOX法(404条)の影響を受けています。それで内部統制の観点から、金融商品取引法を「J-SOX法」ということもあります。

金融商品取引法の条文だけでは、内部統制を具体的にどう実施し報告するかが不明確です。それで金融庁は「財務報告に係る内部統制の評価及び監査に関する実施基準」 http://www.fsa.go.jp/singi/singi_kigyou/tosin/20070215.pdf(以降、「実施基準」といます)を策定しました。
 これに関しては「内部統制」で詳述します。

ITへの対処(IT統制)

実際の財務計算書作成までの処理は情報システムが使われています。正確な財務計算が行われていることを証明するには、そのシステムが不正行為やエラーが発生せず、発生しても発見できることを証明する必要があります。しかも、販売システムの売上データが会計システムの売掛金データになるように、対象は会計システムだけでなく、多くのシステムが対象になります。さらに、ネットワークを介した不正アクセスや地震などの自然災害へのセキュリティ対策も対象になります。
 また、内部統制を支援するためにも、監査ツールや分析ツールとしての情報システムが必要になります。
 情報システムだけでなく、データ入力や処理に関係する人的あるいは管理的な措置が必要ですし、外部委託しているときはITサービスの契約や契約先の管理もも必要になります。

このように、内部統制報告書を作成するには、システム監査やセキュリティ監査を徹底して行うことになります。本来は、このような対策を実施していなければならないのですが、それが義務付けられたことになります。しかも、第三者に納得させることが求められるので、可視化が重要になり、そのためにもIT活用が必要になります。

このような観点から、実施基準では、特に「ITへの対処」の項目を掲げ、IT統制の内容を体系的に示しています。
 IT統制目標:有効性及び効率性、準拠性、信頼性(正当性、完全性、正確性)、可用性、機密性
 IT統制体系:IT全社的統制、IT全般統制、IT業務処理統制

実施基準におけるIT統制に関しては、「IT統制」で詳述します。

経済産業省は、従来からシステム監査での判断尺度として「システム管理基準」を策定していました。それを「ITへの対処」への取り組みを加えて、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」 http://www.meti.go.jp/press/20070330002/systemkijun-tsuiho.pdfを策定しました。
 これが、IT統制を実施するときの実践規範となります。「IT統制ガイダンス」で詳述します。