~ITコンサルタント養成講座~
皆さん、こんにちは! 当メルマガを担当しています井上正和です。137回からは、このメルマガでIT内部統制を取り上げます。
日本版SOX法といわれる内部統制の外部監査は2008年4月1日からの事業年度以降が対象となります。日本版SOX法による内部統制の対象企業は上場企業です。
しかし、今年6月の新会社法では資本金5億円以上又は負債200億円以上の企業が内部統制の対象となります。対象会社数は10万社に膨れ上がります。10万社が対象ということは顧客や取引
先を考えると内部統制を実施している企業が必ず営業活動において存在することになります。
そういった企業は自社の取引先は内部統制が出来ている会社か否かの観点で取引を進めることになりますから、全ての企業が関係してくることになります。日本版SOX法ではこの内部統制の中でIT統制がきわめて重要な役割を果たします。
このメルマガでは、“IT内部統制として如何に対処すべきか”の観点で解説していきたいと思います。
今回はIT内部統制メルマガの第27回です。
実施基準で記載されている内部統制留意点として、重要と思われる4点をとりあげてみましょう。
(1)内部統制の評価範囲では、
①連結対象となる子会社(組合等を含む)を含む重要な事業拠点で、その事業目的に大きく係
る業務プロセスと定義しています。
②その業務プロセスでは、原則として、売上、売掛金及び棚卸資産にいたる業務プロセスは
全て対象とします。
例えば、棚卸資産に至る業務プロセスには、「販売プロセス」、「在庫管理プロセス」、
「期末の棚卸プロセス」、「購入プロセス」等がそれに当ると明記しています。
③米国のSOX法の規定にも無い評価範囲として、「委託企業の評価」があります。評価対象と
なる業務プロセスを委託している場合、その内部統制の責任も経営者に求められています。
(2)重要性の目安として、目安目標値を提示しています。
①重要拠点とは売上高等が概ね2/3の割合までの事業拠点が含まれ、 ②金額的重要性は連結総資産、連結売上高、連結税引き前利益等の比率で判断し、目安と
して、5%程度。さらに、上場廃止基準や財務制限条項に係る記載事項など投資判断に与える
影響等の質的な重要性を上げています。
(3)内部統制の監査時期(通常決算期)に外部監査人による監査で不備が発生し、その対応が
不可能とならないためにかイア者が当該範囲を決定した時点で、その妥当性を監査人と協議
を行うことを推奨しています。“転ばぬ先の杖”ですね。
(4)監査人による内部統制の監査は、聞き取り調査に加え、検査を無作為サンプリングにもとづいて確認を行う必要があるが、90%の信頼度には少なくとも25件のサンプリングが必要とガイドしています。さらに、ITによる業務処理統制が為されている場合はサンプル数の低減が可能とIT統制の有効性を指摘しています。 最後に、実施基準の全体像を解説しておきましょう。
内部統制は、「内部統制の構築」と「評価と報告」の2つの仕組み構造になります。
(1)「内部統制の構築」では、経営者による「内部統制の方針と手続の決定」がなされ、各担当者部門で「内部統制規定と実施ルール決定」をし、この規定にもとづいて、内部統制の実施が行われます。この構築プロセスの全ての過程において、文書化が必要ですし、実施状況の記録が必要になります。これらの状況把握や記録といったものを人手で全て賄うことはまず困難です。ITを有効に活用し、人手を煩わせずに動じ記録する仕組みを構築することで信頼性と内
部統制の有効性が高まります。IT統制は必須に近いと言うことです。
(2)「評価と報告」では、これらの文書や実施状況記録を基に内部監査を行い、設定目標に対する成果、問題点を洗い出し、改善策を作成し、「内部統制報告書」を作成します。この報告書を財務諸表とともに外部監査人へ提出し、監査を受け、監査人が作成した「内部統制監査報告書」の要求に対応した「内部統制報告書」と「有価証券報告書」をステークホルダーへ開示することになります。
ここのメッセージでは、“経営者の姿勢として、虚偽の報告をせず、内部統制の不備に対しては改善をし、より有効な内部統制の仕組みを作り上げ続ける”ことを求めています。
以上で、今回は終わります。
次回は少し休息期間をいただいて、4月2日から再開します。経産省が公表した「システム管理基準 追補版」をベースにIT 内部統制の要点を伝えていきたいと思っています。楽しみしておいてください。おそらく、日本初公開です。
(雑感)これからの日本版SOX法対応は、経産省が公表した「システム管理基準 追補版」と金融庁
の「実施基準」がベースになります。現在、当方では両ガイドも精読が終わり、経産省、金融庁の
両ガイド準拠の「IT内部統制コースの教材」を作成中です。3月17日の弊社コース出席者の方
には出来上がりを早速提供予定です。
今年、1月に米国のITガバナンス協会(ITGI)からの「企業改革法遵守のためのIT統制目標
(第2版))」に基づいたIT内部統制のテキストを提供しましたが、今回の経産省ガイドはこのITGI
とシステム管理基準をベースに新たなIT統制のガイドになっています。大枠はITGIに沿って
いるので同じですが、細目の作成資料や実施基準作りになるとかなり変更です。
日本の上場企業の内部統制担当者は相当苦労しますね!!
早急に修得したい方には、“ひざ突き合わせて議論できるセミナーでないと”と思い企画して
います。3月コースは満員で締め切りましたが、4月以降での弊社コースの受講をお待ちして
います。
こちらです。
◆IT内部統制の実践知識修得コース: http://www.ism-research.com/course-6.htm
(注1)「IT内部統制実践知識修得コース」と「経営戦略立案―OJTコース」を東京、神戸教室で実施します。詳細は次のURLのご参照をお願いいたします。
◆IT内部統制の実践知識修得コース: http://www.ism-research.com/course-6.htm
◆経営戦略立案-OJTコース : http://www.ism-research.com/course-5.htm
(注2)「経営戦略」、「情報戦略」の基礎知識等の今までの全てのバックナンバーを閲覧できるようにしました。
こちらです⇒ http://www.ism-research.com/mailmagazine/content.htm
(注3) 「IT内部統制の実践入門」としてメルマガ内容をPPTを用いて具体的に図解を中心に
まとめた教材本としました。管理者や推進者の学習及び研修用としてご活用いただけます。
こちらです⇒ http://www.ism-research.com/book-4.htm
(注4) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題集」と
「ITコーディネータ試験対策コース」を開発しました。
問題集はこちらです⇒ http://www.ism-research.com/book-3.htm
研修コースはこちらです⇒ http://www.gtc.co.jp/semn/isc/itc.html
(注5)「経営戦略」、「情報戦略」の基礎知識を整理したメルマガ本で、この応用編メルマガの基礎知識の集大成をしました。
ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです⇒ http://www.ism-research.com/book-1.htm
(注6)「経営戦略」、「情報戦略」のオンサイト研修を実施しています。適正な
価格で、カスタマイズした実践的コースを提供します。
こちらです⇒ http://www.ism-research.com/course-1.htm
(注7)小職が実施している主な研修機関の研修コースは以下の通りです。
●株式会社 アスキー
http://ascii-business.com/abiz/itseminar/
●グローバルナレッジ(株)
http://www.globalknowledge.co.jp/reference/Reference.asp?KBN=1&DCODE=29&SCODE=170
●(株)富士ゼロックス総合教育研究所
http://www.pm-fxli.com/multi.html
●(株)グローバルテクノ
http://www.gtc.co.jp/semn/isc/itc.html
http://www.gtc.co.jp/semn/isc/kso.html
★メルマガの配信停止は次のURLをご参照ください。
こちらです⇒ http://www.mag2.com/m/0000118350.html