皆さん、こんにちは! 当メルマガを担当しています井上正和です。137回からは、このメルマガでIT内部統制を取り上げます。
日本版SOX法といわれる内部統制の外部監査は2008年4月1日からの事業年度以降が対象となります。日本版SOX法による内部統制の対象企業は上場企業です。
しかし、今年6月の新会社法では資本金5億円以上又は負債200億円以上の企業が内部統制の対象となります。対象会社数は10万社に膨れ上がります。10万社が対象ということは顧客や取引先を考えると内部統制を実施している企業が必ず営業活動において存在することになります。
そういった企業は自社の取引先は内部統制が出来ている会社か否かの観点で取引を進めることになりますから、全ての企業が関係してくることになります。日本版SOX法ではこの内部統制の中でIT統制がきわめて重要な役割を果たします。
このメルマガでは、“IT内部統制として如何に対処すべきか”の観点で解説していきたいと思います。
今回はIT内部統制メルマガの第20回です。
内部統制プロジェクトの実施段階の主要文書の1つに「勘定科目の重要性判定」があります。
内部統制では「財務報告の信頼性」を目的としますので、財務諸表の信頼性に焦点が当ることになります。財務諸表の中心は貸借対照表(B/S)、損益計算書(P/L)です。
これらの報告書の勘定科目はあらゆる業務に関係しておますので、全ての業務調査が必要になるのでしょうか?
平成18年11月21日に金融庁から発表されました「財務報告に係る内部統制の評価及び監査に関する実施規準」によりますと、金額的な重要性の判断として連結総資産、連結売上高、連結税引前利益などに対する構成比率をその基準として掲げ低増す。例えば、連結税引前利益の概ね5%といった基準を設定しています。
つまり、そのような影響を与える勘定科目に対して「信頼性を持った内部統制」を要求しているわけです。
この勘定科目の重要度判定には「量的リスク」と「質的リスク」の両面をみてリスク判定をします。
(1)「量的リスク」とは、その勘定科目の処理頻度の多さと金額の大きさをとらえたリスクです。
(2)「質的リスク」とは、市場の変動や人為的な判断の影響を受け大きな変動を伴う勘定科目です。
そのリスク要因には、
★有価証券のように“市場性”があり時価が変動する
★減価償却のように“陳腐化の要因”があり、経済的陳腐化が発生する
★顧客への仕切値等が関連し、“計算の複雑性”が生じる
★商品評価損等の主観的な判断等の“恣意性がある”もの
★社員申請等“不正”の入り込みやすい勘定科目
★減価償却費、前払費用などの取引等、収益および費用を適切な期間に配分の“期間帰属エラー”
★異例、特例、特殊取引のある勘定科目 等があります。
重大なミス、不正や処理の不透明さを作り出す「量的リスク」や「質的リスク」を判断基準にして、対象勘定科目を選択し、その業務プロセスを識別する必要があります。
重要勘定科目の選定が出来ると、この勘定科目に関係する業務プロセスを特定することが必要になります。
対象の業務プロセスが特定できますと、その特定業務プロセスの業務フローチャートを記述します。業務フローチャートは内部および外部会計監査において必須の文書です。一般には、システム化業務が分かるように処理の流れに沿って、処理部門の関連をつけ記述する方式がとられます。
この業務フローの中で対象勘定科目の財務アサーションに違反する可能性があると思われる業務をピックアップし、そのリスク事項を記述します。こうすることで、リスクのある業務が明確になり、内部統制のための対策事項を作成することが可能になります。この業務プロセスリスク事項と対策事項をまとめたものがRCM(Risk Control Matrix)です。
今回はここで終わりです。
次回は内部統制の要となる「リスク・コントロール・マトリクス(RCM)」をテーマに取り上げます。
(雑感)金融庁公表の「財務報告に係る内部統制の評価及び監査に関する実施基準」を読んでいまして、気になりましたのは「委託企業の評価」が明記されていることです。“評価対象となる業務プロセスの一部を委託している場合、委託企業の評価が必要”となっています。外注している上場企業は多いと思いますし、外注先はほとんど日本版SOX法対象外の中小企業のはずです。上場企業は中小企業に内部統制を求めてくるでしょうし、その仕組みのあるところに発注するようになると思われます。IT統制で言えば、決算処理システムや販売管理システム等は全て外注でしょうから対象です。丸投げでなく、本来の自社主導のシステム開発、運用が求められることになります。メルマガの冒頭で述べてますように、全企業が対象となってきた感があります。
(注1)「ズバリ!経営戦略立案ソフト」を開発し、発売開始しています。
経営戦略目標から部門の行動計画まで、経営者が容易に、体系的に作成できる
パッケージです。
こちらです。 http://e-site-frontier.kir.jp/index-11.html
(注2) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題
集」と「ITコーディネータ試験対策コース」を開発しました。
問題集はこちらを参照 http://www.ism-research.com/book-3.htm
研修コースはこちらを参照 http://www.gtc.co.jp/semn/isc/itc.html
(注3) 「経営戦略」、「情報戦略」の基礎知識を整理したメルマガ本で、この応用編
メルマガの基礎知識の集大成をしました。
ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです。 http://www.ism-research.com/book-1.htm
(注4)「経営戦略」、「情報戦略」のオンサイト研修を実施しています。適正な
価格で、カスタマイズした実践的コースを提供します。
こちらです。 http://www.ism-research.com/course-1.htm
(注5)「経営戦略」、「情報戦略」の基礎知識を今までのメルマガのマグマグの
バックナンバー(無料)から入手することができます。
こちらです。 http://backno.mag2.com/reader/Back?id=0000118350
(注6)「IT内部統制」の内容をPPTで全て図解し、ノート形式で解説を施しました。
要点のみを抑えたい忙しいビジネスパーソンや企業のe-ラーニング教材向け
に作成しています。
こちらです。 http://www.ism-research.com/book-4.htm
(注7)小職が実施している主な研修機関の研修コースは以下の通りです。
●株式会社 アスキー
http://ascii-business.com/abiz/itseminar/
●グローバルナレッジ(株)
http://www.globalknowledge.co.jp/reference/Reference.asp?KBN=1&DCODE=29&SCODE=170
●(株)富士ゼロックス総合教育研究所
http://www.pm-fxli.com/multi.html
●(株)グローバルテクノ
http://www.gtc.co.jp/semn/isc/itc.html
http://www.gtc.co.jp/semn/isc/kso.html
(注8)メルマガの配信停止は次のURLをご参照ください。
こちらです。⇒ http://www.mag2.com/m/0000118350.html