~ITコンサルタント養成講座~
皆さん、こんにちは! 当メルマガを担当しています井上正和です。137回からは、このメルマガでIT内部統制を取り上げます。
日本版SOX法といわれる内部統制の外部監査は2008年4月1日からの事業年度以降が対象となります。日本版SOX法による内部統制の対象企業は上場企業です。
しかし、今年6月の新会社法では資本金5億円以上又は負債200億円以上の企業が内部統制の対象となります。対象会社数は10万社に膨れ上がります。10万社が対象ということは顧客や取引
先を考えると内部統制を実施している企業が必ず営業活動において存在することになります。
そういった企業は自社の取引先は内部統制が出来ている会社か否かの観点で取引を進めることになりますから、全ての企業が関係してくることになります。日本版SOX法ではこの内部統制の中でIT統制がきわめて重要な役割を果たします。
このメルマガでは、“IT内部統制として如何に対処すべきか”の観点で解説していきたいと思います。
今回はIT内部統制メルマガの第39回です。経産省公表の「システム管理基準 追補版」のまとめをしておきましょう。
IT内部統制の中で、IT統制はITに係る統制に焦点が当てられますが、IT統制の構築・運用そして評価・報告の構造は内部統制とも同じです。
その手順を述べていきましょう。まず、
◆経営者は、内部統制のITに係る統制として、IT統制の方針と手続を決定します。
各担当者はこのIT統制の方針と手続のもとに、IT統制の規定や実施ルール等を作成し、IT統制
運用のための仕組みを構築します。このIT統制の仕組みが運用され、モニタリングによる改善
活動が行われることになります。
次に、
◆経営者は、評価と監査人に対して、IT統制の評価を「内部統制報告書」に含めて報告をし、
監査を受けることになります。
監査人はIT統制の整備・運用状況を検証するために、方針書、規定書、業務フロー等の文書と
計画、構築、運用のそれぞれの時点での実施状況の記録や方針の根拠等の文書記録も要求
することになります。
さらに、
◆経営者は監査人が監査実施時に作成する「内部統制監査報告書」をもとに、是正処置を施し、
「内部統制報告書」へ反映し、監査人からの監査証明を受け、内閣総理大臣へ、「財務報告書」
と「内部統制報告書」を提出することになります。
内部統制の枠組みは、金融庁公表の「実施基準」ですが、
しかし、内部統制は業務プロセスの統制です。現在の企業の業務プロセスはほとんどIT化され
ています。
経産省公表の「システム管理基準 追補版」は、そのIT統制のガイドラインです。「実施基準」の参考資料という位置づけになっていますが、十分な留意が必要です。
経産省のガイドは、一般企業向けのガイドになっており、記述も詳細で実践向きになっているからです。
IT統制の基本である経産省のガイドラインについて述べてきましたが、業務プロセスがIT 化されていることを考えると、このガイドラインが実践の中心に位置づけられるべきではないかと考えた次第です。
IT内部統制のメルマガはここで終了です。この後に、専門的に勉強したい方に向けて、経産省ガイ
ドラインと金融庁ガイドラインの解説本を作成したいと思います。ご期待ください。
次回からは、日本版内部統制の中のIT統制の基盤となり、COSOが推奨している「COBIT4.0」を取り上げたいと思います。COBIT4.0はIT統制を加えたITガバナンスを提供しています。これから数年たつと、システム設計はIT統制を加えた設計が必須となるでしょう。
若干の時間をいただき、7月9日から再開いたします。
(雑感)先週、小生の友人でCIOをやっている上場企業を訪問しました。この常務でCIOの2つの質問が印象的でしたので、ご紹介します“金融庁や経産省のガイドラインは難しくて分からない”、“内部統制は担当の監査人の言うとおりにやっている。何か問題があるのか?”です。皆さんはどう思われますか?
小生の回答は、“法制化され、その実施のガイドラインが出されているのに内容が分からないで3点セットを作っても、いずれ書き直しになるのでは? 別の監査人が来たときに。”と“監査人に任せたとしても、何か問題が発生したときの責任は社長とあなたになるのでは?J-SOXは内部統制は経営者の責任と言ってますよ!”です。
真っ青になっていました。まだ、3/4の上場企業が本格的な取組をしていないことに実体をあらわす質問だったかな?と思いました。
当職の生産性本部のコースを案内しておきました。出席されるようです。
こちらです。 http://seminar.jpc-sed.or.jp/detail/jqa/seminar004257.html
(注1)「IT内部統制実践知識修得コース」と「経営戦略立案―OJTコース」を東京、神戸教室で実施します。詳細は次のURLのご参照をお願いいたします。
◆IT内部統制の実践知識修得コース:http://www.ism-research.com/course-6.htm
◆経営戦略立案-OJTコース :http://www.ism-research.com/course-5.htm
(注2)「経営戦略」、「情報戦略」の基礎知識等の今までの全てのバックナンバーを閲覧できるようにしました。
こちらです⇒ http://www.ism-research.com/mailmagazine/content.htm
(注3)「IT経営戦略策定の実践能力養成コース(COBIT第4版対応:2日間)」を実施。
2日間のSWOT分析、BSC分析、COBIT分析(COBIT第4版対応)のワークショップ付きコースでITガバナンス設計システムの要点講義・ワークショップ講座です。
こちらです⇒ http://www.ism-research.com/course-7.htm
(注4)「IT内部統制の実践入門」としてメルマガ内容をPPTを用いて具体的に図解を中心に
まとめた教材本としました。ITガバナンス協会の「COBIT For SOX」」をベースとしたテキスト
です。管理者や推進者の学習及び研修用としてご活用いただけます。
こちらです⇒ http://www.ism-research.com/book-4.htm
(注5) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題集」と
「ITコーディネータ試験対策コース」を開発しました。
問題集はこちらです⇒ http://www.ism-research.com/book-3.htm
研修コースはこちらです⇒ http://www.gtc.co.jp/semn/isc/itc.html
(注6)「経営戦略」、「情報戦略」の基礎知識を整理したメルマガ本で、この応用編メルマガの基礎知識の集大成をしました。
ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです⇒ http://www.ism-research.com/book-1.htm
(注7)「経営戦略」、「情報戦略」のオンサイト研修を実施しています。適正な
価格で、カスタマイズした実践的コースを提供します。
こちらです⇒ http://www.ism-research.com/course-1.htm
(注8)小職が実施している主な研修機関の研修コースは以下の通りです。
●株式会社 アスキー
http://ascii-business.com/abiz/itseminar/
●グローバルナレッジ(株)
http://www.globalknowledge.co.jp/reference/Reference.asp?KBN=1&DCODE=29&SCODE=170
●(株)富士ゼロックス総合教育研究所
http://www.pm-fxli.com/multi.html
●(株)グローバルテクノ
http://www.gtc.co.jp/semn/isc/itc.html
http://www.gtc.co.jp/semn/isc/kso.html
★メルマガの配信停止は次のURLをご参照ください。
こちらです⇒ http://www.mag2.com/m/0000118350.html