~ITコンサルタント養成講座~
皆さん、こんにちは! 当メルマガを担当しています井上正和です。137回からは、このメルマガでIT内部統制を取り上げます。
日本版SOX法といわれる内部統制の外部監査実施は2008年4月から開始されます。日本版SOX法による内部統制の対象企業は上場企業です。しかし、今年6月の新会社法では資本金5億円以上又は負債200億円以上の企業が内部統制の対象となります。対象会社数は10万社に膨れ上がります。10万社が対象ということは顧客や取引先を考えると内部統制を実施している企業が必ず営業活動において存在することになります。そういった企業は自社の取引先は内部統制が出来ている会社か否かの観点で取引を進めることになりますから、全ての企業が関係してくることになります。日本版SOX法ではこの内部統制の中でIT統制がきわめて重要な役割を果たします。
このメルマガでは、“IT内部統制として如何に対処すべきか”の観点で解説していきたいと思います。
今日はIT内部統制メルマガの第6回です。
前回は内部統制のCOSOのフレームワークにおける「内部統制の目的」を取り上げました。今回はこの内部統制の目的に対して“何をなすべきか”を「内部統制の基本構成要素」として日本版COSOは6つの要素を定義していますのでその解説をしようと思います。
日本版SOX法では、内部統制の目的を“財務報告の信頼性”に置いていますので、この目的に対する基本構成要素を実施できれば法律に従うことになります。
その基本構成要素とは「統制環境」、「リスク評価と対応」、「統制活動」、「情報と伝達」、「監視活動」、「ITへの対応」を言います。
■「統制環境」とは、“組織の気風を決定し、組織内の全ての者の統制に対する意識に影響を与えるとともに、他の基本的要素の基礎となる環境”を言います。例えば、経営者やリーダーの誠実性や倫理観、経営者の内部統制に対する強い姿勢、高すぎるクォータなど社員が不正へと駆り立てない経営方針、独立した監査部門の設置、内部統制を実施できる組織体制、権限及び職責、内部統制を実施できる従業員の育成などを指しています。
■「リスク評価と対応」とは、“組織の目標達成に影響を与える全てのリスクを識別、分析及び評価することによって、当該のリスクへの対応を行う一連のプロセス”を言います。例えば、リスクの認識と識別が出来、リスクの内部統制目標に対する影響を評価し、そのリスクを最小化する適切な対応が出来ることです。
■「統制活動」とは、“経営者との命令及び指示が適切に実行されることを確保するために定める方針、手続及び実践”を言います。例えば、販売活動、購買活動、資産管理等、企業の活動に組み込まれている方針や手続を指し、職務の分掌規定、記録、レビュー/監視などの活動を言います。
■「情報と伝達」とは、“必要な情報が組織や関係者相互間に、適切に伝えられることが確保できること”を言います。職務遂行に必要な情報の識別と社内/社外との適切、適時のコミュニケーションが取れるプロセスを整備できていることを表しています。
■「監視活動」とは、“内部統制の有効性を継続的に監視及び評価するプロセス”を言います。
つまり、日常的モニタリングや定期的に行う独立的評価、評価の適切性を確保する評価プロセス、監査結果の報告体制が出来ていることです。
■「ITへの対応」とは、“他の基本要素が有効かつ効率的に機能するために、業務に組み込まれている一連のITを活用すること”を言います。この要素は日本版COSOで含まれました。IT化されたアプリケーションプログラムが正確に処理され記録されることを確保するアプリケーション統制(又は業務処理統制という)とアプリケーション統制が有効に機能することを保証するIT インフラ環境に対する全般統制で構成されます。
内部統制の目的と内部統制の基本構成要素について、COSO フレームを基に前回と今回で整理しました。 今回はここで終わります。
次回は日本版SOX法によって監査制度が変わりましたので、「日本の新しい監査制度」をテーマに取り上げます。
(雑感)先週、「ズバリ!戦略立案ソフト」を用いた研修と事業計画作成の指導に行ってきました。27名の通販の中小企業です。14年前は5名でスタートしたそうでした。売上は23億、利益は1.4億、それなりの良い会社です。経営戦略担当役員と経理部のMGRと進めました。このコースと指導を受けようとした動機について、“今まで、いくら売ろう、どれだけ利益を上げようという意気込みで、儲けるための手段はその時々の思いつきでやってきました。ところが、社長から5年後、売上100億にしようといわれました。どうしてよいか分かりませんでしたが、みんなが理解できる将来に向けた経営戦略が必要とおもいました。”と言った内容を伺いました。
社長が陣頭指揮を執って現場を回っていれば、100人ぐらいまで思いは通じて1人で社員を引っ張っていけるのですが、この会社はグループ会社の1つで社長は1週に1回の来社のようです。それで、20人越えた辺りからバラバラな行動が目に付くようになったようです。
ビジョン作り、環境分析と進めていくうちにお2方が真剣に、且つ明るくなっていかれるのを見ながら有意義な2日間を過ごしました。何においてもビジョンと目標をのある戦略作りと再認識しました。
(注1)「ズバリ!経営戦略立案ソフト」を開発し、発売開始しています。
経営戦略目標から部門の行動計画まで、経営者が容易に、体系的に作成できる
パッケージです。
こちらです。 http://e-site-frontier.kir.jp/index-11.html
(注2) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題
集」と「ITコーディネータ試験対策コース」を開発しました。
問題集はこちらを参照 http://www.ism-research.com/book-3.htm
研修コースはこちらを参照 http://www.gtc.co.jp/semn/isc/itc.html
(注3) 「経営戦略」、「情報戦略」の基礎知識を整理したメルマガ本で、この応用編
メルマガの基礎知識の集大成をしました。
ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです。 http://www.ism-research.com/book-1.htm
(注4)「経営戦略」、「情報戦略」のオンサイト研修を実施しています。適正な
価格で、カスタマイズした実践的コースを提供します。
こちらです。 http://www.ism-research.com/course-1.htm
(注5)「経営戦略」、「情報戦略」の基礎知識を今までのメルマガのマグマグの
バックナンバー(無料)から入手することができます。
こちらです。 http://backno.mag2.com/reader/Back?id=0000118350
(注6)小職が実施している主な研修機関の研修コースは以下の通りです。
●株式会社 アスキー
http://ascii-business.com/abiz/itseminar/
●グローバルナレッジ(株)
http://www.globalknowledge.co.jp/reference/Reference.asp?KBN=1&DCODE=29&SCODE=170
●(株)富士ゼロックス総合教育研究所
http://www.pm-fxli.com/multi.html
●(株)グローバルテクノ
http://www.gtc.co.jp/semn/isc/itc.html
(注7)メルマガの配信停止は次のURLをご参照ください。
こちらです。⇒ http://www.mag2.com/m/0000118350.html