~ITコンサルタント養成講座~
皆さん、こんにちは! 当メルマガを担当しています井上正和です。137回からは、このメルマガでIT内部統制を取り上げます。
日本版SOX法といわれる内部統制の外部監査は2008年4月1日からの事業年度以降が対象となります。日本版SOX法による内部統制の対象企業は上場企業です。
しかし、今年6月の新会社法では資本金5億円以上又は負債200億円以上の企業が内部統制の対象となります。対象会社数は10万社に膨れ上がります。10万社が対象ということは顧客や取引先を考えると内部統制を実施している企業が必ず営業活動において存在することになります。
そういった企業は自社の取引先は内部統制が出来ている会社か否かの観点で取引を進めることになりますから、全ての企業が関係してくることになります。日本版SOX法ではこの内部統制の中でIT統制がきわめて重要な役割を果たします。
このメルマガでは、“IT内部統制として如何に対処すべきか”の観点で解説していきたいと思います。
今回はIT内部統制メルマガの第26回です。
金融庁から平成18年11月21日に公表された「財務報告に係る内部統制の評価及び監査に関する実施基準」(以下、「実施基準」という)は米国SOX法に対して公表された内部統制のガイドライン「サーベインズ・オクスリー法(企業改革法)遵守のためのIT統制目標」(ITGovenance Institute 2004年翻訳版)を基礎にして制定されたと言われています。
従って、基本的な内容は同じです。しかし、若干の記述内容及びその視点に違いがあります。
実施基準は言葉通り、実施手順や実施事項に焦点を当てています。この要点を整理してみましょう。
実施基準の構成は第Ⅰ部「内部統制の基本的枠組み」、第Ⅱ部「財務報告に係る内部統制の評価及び報告」、第Ⅲ部「財務報告に係る内部統制の監査」、「実施基準参考資料」で構成されています。
それぞれの内容は以下の通りです。
★第Ⅰ部は、内部統制の目的と実施要件(基本的要素)を実現するための体制・役割、および内部統制プロセス構築のポイントを要約しています。
★第Ⅱ部は、経営者が内部統制を評価し、外部監査人へ報告する「内部統制報告書」に求められる記載事項とその実施手順、考慮点の記述です。
★第Ⅲ部は、外部監査人が「内部統制監査報告書」を作成するために、監査事項と実施手順、留意事項を記述しています。
第Ⅰ部と第Ⅱ部は内部統制の実施対象企業の経営者に対する実施基準事項ですが、第Ⅲ部は外部監査人に対する監査の実施基準を記述しています。
★実施基準参考資料は、第Ⅰ部、第Ⅱ部、第Ⅲ部のまとめとして、「内部統制を構築していくプロセ
ス」、その構築した「内部統制プロセスの評価・報告の流れ」、「評価・報告により発見された内部統制の不備に対する検討プロセス」を要約・図解しています。
次に、この実施基準の内部統制に対する記述ポイントを抑えてみましょう。
(1)実施基準は会社法と金融商品取引法(日本版SOX法)の両方をカバーするものですが、日本版SOX法は内部統制の4つの目的の中で「財務報告の信頼性」に焦点を当てる。会社法は内部統制の目的全てが対象であることから、金融商品取引法はその一部規定として捉える必要があります。
(2)経営者が内部統制の状態を評価し、「内部統制報告書」として報告する責任があります。外部監査人からの監査結果である「内部統制監査報告書」にもとづく内部統制の不備対応も経営者の責任になります。
(3)内部統制の構築と評価・報告における手順・役割の明確化を要求し、
(4)内部統制の信頼性を担保するために、内部統制の構築及び実施時の記録と保存、報告を繰り返し強調しています。
(5)内部統制の対象業務プロセスはIT化することで内部統制の有効性が強化されるとしています。
これはITによる業務処理は一度検証できると、繰り返しの処理の信頼性を確保できると言う立場をとっていることから来ています。
この内部統制を実施する上で、実施基準では内部統制の実施要領のガイドを行っています。その留意点を次にまとめてみます。今回はここで終わります。
次回は、「金融庁 実施規準-2」として、実施基準に記述されている内部統制の留意点をテーマに取り上げようと思います。
(雑感)先日、友人と話していましたら、最近の若い人にコミュニケーション欠乏症とモラトリアム人間が増えたと言う話が出ました。今の若い人が私たちの若いときより劣っているなどとは毛頭思いませんが、大学でプレゼンテーションのテーマを選ばせると“社会人のための癒し”に関するテーマが結構でてきます。ビジネス界に入ると疲れるとの先入観があるようです。“積極的にやれば、楽しいこともたくさんあるよ!”と励ましている次第。ただ、気になりますのは中堅の社員にガチガチの管理屋が増えてきたような気がします。自分の失敗を少なくするために、外部や他部署の人に押し付け、出来たか出来ていないかの管理だけしているような。
内部統制の影響ですかね?もしそうだとすると、大変な誤解があるような気がしています。
今度の内部統制は“嘘をつかず、正直にやりなさい。”と言ってるだけですから・・・。
しかし、従来もそうでしたが、よくその意味を理解せずにやっていると管理だけが強化されて、お互いが誤解の中で、済みにくい会社を作っていくのではないかと心配になってきます。
皆さんの会社は如何ですか?
(注1)「IT内部統制実践知識修得コース」と「経営戦略立案―OJTコース」を東京、神戸教室で実施します。詳細は次のURLのご参照をお願いいたします。
◆IT内部統制の実践知識修得コース: http://www.ism-research.com/course-6.htm
◆経営戦略立案-OJTコース : http://www.ism-research.com/course-5.htm
(注2) 「IT内部統制の実践入門」としてメルマガ内容をPPTを用いて具体的に図解を中心にまとめた教材本としました。管理者や推進者の学習及び研修用としてご活用いただけます。
こちらです⇒ http://www.ism-research.com/book-4.htm
(注3) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題
集」と「ITコーディネータ試験対策コース」を開発しました。
問題集はこちらです⇒ http://www.ism-research.com/book-3.htm
研修コースはこちらです⇒ http://www.gtc.co.jp/semn/isc/itc.html
(注4)「経営戦略」、「情報戦略」の基礎知識を整理したメルマガ本で、この応用編メルマガの基礎知識の集大成をしました。
ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです⇒ http://www.ism-research.com/book-1.htm
(注5)「経営戦略」、「情報戦略」の基礎知識等の今までの全てのバックナンバーを閲覧できるようにしました。
こちらです⇒ http://www.ism-research.com/mailmagazine/content.htm
(注6)「経営戦略」、「情報戦略」のオンサイト研修を実施しています。適正な
価格で、カスタマイズした実践的コースを提供します。
こちらです⇒ http://www.ism-research.com/course-1.htm
(注7)小職が実施している主な研修機関の研修コースは以下の通りです。
●株式会社 アスキー
http://ascii-business.com/abiz/itseminar/
●グローバルナレッジ(株)
http://www.globalknowledge.co.jp/reference/Reference.asp?KBN=1&DCODE=29&SCODE=170
●(株)富士ゼロックス総合教育研究所
http://www.pm-fxli.com/multi.html