~ITコンサルタント養成講座~
皆さん、こんにちは! 当メルマガを担当しています井上正和です。137回からは、このメルマガでIT内部統制を取り上げます。
日本版SOX法といわれる内部統制の外部監査は2008年4月1日からの事業年度以降が対象となります。日本版SOX法による内部統制の対象企業は上場企業です。
しかし、今年6月の新会社法では資本金5億円以上又は負債200億円以上の企業が内部統制の対象となります。対象会社数は10万社に膨れ上がります。10万社が対象ということは顧客や取引先を考えると内部統制を実施している企業が必ず営業活動において存在することになります。
そういった企業は自社の取引先は内部統制が出来ている会社か否かの観点で取引を進めることになりますから、全ての企業が関係してくることになります。日本版SOX法ではこの内部統制の中でIT統制がきわめて重要な役割を果たします。
このメルマガでは、“IT内部統制として如何に対処すべきか”の観点で解説していきたいと思います。
今回はIT内部統制メルマガの第38回です。
今回は、内部統制に係る米国と日本のガイドラインや標準に関してまとめておきましょう。
まず、米国のSOX法に対応する日本の内部統制の法律は「金融商品取引法」でした。
米国のSOX法に基づいた内部統制の枠組みは、PCAOB監査基準第2号に
もとづくCOSOレポートですね。
このCOSOレポートに対応する日本での枠組みは、金融庁の「実施基準」です。
平成17年7月13日に金融庁における企業会計審議会で策定された「財務報告に係る内部統制の評価及び監査の基準(公開草案)」、この基準に基づいて作成・公表された内部統制の構築と評価の「実施基準」である「財務報告に係る内部統制の評価及び監査に関する実施基準」が平成19年2月15日に公表され、内部統制の枠組みを確立しました。
この日本版内部統制に基づいて、IT統制の枠組みが平成19年3月30日、経産省によって「システム管理基準 追補版」(財務報告に係るIT統制ガイダンス)が公表されました。このガイドの基礎になった基準は「システム管理基準」等です。
日本のIT統制でのガイドラインである「システム管理基準 追補版」に対応する米国のガイドは、
ITガバナンス協会が公表した「IT Control Objectives for SOX」であり、「システム管理基準」等に該当する基準は、COSOレポートで推奨したIT統制の枠組みである「COBIT等」になります。
COBIT等と書きましたのは、この標準に加えてITIL(ISO20000)やISMS(ISO27000s)があるからです。
COSOが推奨していますのは、COBIT第3版ではなく、COBITは第4版です。従来のCOBIT第3版との違いは、システム管理基準としてのCOBITに内部統制が組み込まれたこと、そしてITガバナンスの考え方がBSC(バランススコアカード)を取り込みビジネスの有効性や効率性を頂点に置いたことです。
さらに、COBITで注意すべき点は、IT成熟度の考え方です。内部統制の統制レベルを6段階で記述して、段階的に統制レベルを高めていくことを指向していることです。
経産省「追補版」にはこの観点が抜けていますので、COBITを参照資料に加えることでIT統制目標の設定でより良いIT統制の規定書作りを可能にするはずです。
COBIT4.0は、IT統制や今後の企業システム設計において重要なテーマなので、またメルマガで取り上げたいと思います。
COBIT4.0のURL: http://www.itgi.jp/download.html
今回はここで終わります。
次回の「経産省 システム管理基準まとめ-12」では、今まで述べてきましたIT統制に関するガイドライン「システム管理基準 追補版」(財務報告に係るIT統制ガイダンス)の記述内容の要点を全体整理して、このIT 内部統制のメルマガを終了します。
(雑感)先週、ある上場企業のCIOで内部統制の責任者にお会いしました。このメルマガで紹介
しました金融庁や経産省のガイドラインの件はほとんどご存知でありませんでした。
おっしゃっていたことは、“結局、監査人に依存するのですから、監査人の指示に従ってやって
いくつもりです。”、と“金融庁や経産省のガイドラインは、素人には難しくて何をやったら良いか
分かりません。”の2点でした。先々週の日経の調査で、上場企業の3/4はまだ実質的な取組
が出来ていないとの報告がありましたが、裏付ける会話でした。
私は、こう応えておきました。“監査人任せをやめようというのが、今回の日本版SOX法の考え方
です。内部統制はあなたと社長の責任になりますよ! 今までのように監査人が言ったからで
やっていると、両人ともにGo to Jailになりますよ。”、ガイドラインが難しいに対しては、
“J-SOXの実施ガイドラインとして、政府が公表しているのですから、監査人はこのガイドライン
に沿って監査を実施してくるでしょう。難しいならセミナーに出て勉強し、ガイドラインに対応した
内部統制の仕組み作りをするしかありませんね”と応えておきました。かなり、真剣な表情に
変わっていらっしゃいました。
高梨先生と当職で実施する社会経済生産性本部の「IT内部統制の実践知識修得」1日セミナー
を紹介しておきました。
こちらです⇒ http://seminar.jpc-sed.or.jp/seminar_detail.php
(注1)「IT内部統制実践知識修得コース」と「経営戦略立案―OJTコース」を東京、神戸教室で実施します。詳細は次のURLのご参照をお願いいたします。
◆IT内部統制の実践知識修得コース:http://www.ism-research.com/course-6.htm
◆経営戦略立案-OJTコース :http://www.ism-research.com/course-5.htm
(注2)「経営戦略」、「情報戦略」の基礎知識等の今までの全てのバックナンバーを閲覧できるようにしました。
こちらです⇒ http://www.ism-research.com/mailmagazine/content.htm
(注3)「IT経営戦略策定の実践能力養成コース(COBIT第4版対応:2日間)」を実施。
2日間のSWOT分析、BSC分析、COBIT分析(COBIT第4版対応)のワークショップ付きコースでITガバナンス設計システムの要点講義・ワークショップ講座です。
こちらです⇒ http://www.ism-research.com/course-7.htm
(注4)「IT内部統制の実践入門」としてメルマガ内容をPPTを用いて具体的に図解を中心に
まとめた教材本としました。ITガバナンス協会の「COBIT For SOX」」をベースとしたテキスト
です。管理者や推進者の学習及び研修用としてご活用いただけます。
こちらです⇒ http://www.ism-research.com/book-4.htm
(注5) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題集」と
「ITコーディネータ試験対策コース」を開発しました。
問題集はこちらです⇒ http://www.ism-research.com/book-3.htm
研修コースはこちらです⇒ http://www.gtc.co.jp/semn/isc/itc.html
(注6)「経営戦略」、「情報戦略」の基礎知識を整理したメルマガ本で、この応用編メルマガの基礎知識の集大成をしました。
ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです⇒ http://www.ism-research.com/book-1.htm
(注7)「経営戦略」、「情報戦略」のオンサイト研修を実施しています。適正な
価格で、カスタマイズした実践的コースを提供します。
こちらです⇒ http://www.ism-research.com/course-1.htm
(注8)小職が実施している主な研修機関の研修コースは以下の通りです。
●株式会社 アスキー
http://ascii-business.com/abiz/itseminar/
●グローバルナレッジ(株)
http://www.globalknowledge.co.jp/reference/Reference.asp?KBN=1&DCODE=29&SCODE=170
●(株)富士ゼロックス総合教育研究所
http://www.pm-fxli.com/multi.html
●(株)グローバルテクノ
http://www.gtc.co.jp/semn/isc/itc.html
http://www.gtc.co.jp/semn/isc/kso.html
★メルマガの配信停止は次のURLをご参照ください。
こちらです⇒ http://www.mag2.com/m/0000118350.html