いちばんわかりやすい新会社法のポイントいちばんわかりやすい新会社法のポイントいちばんわかりやすい新会社法のポイント
販売店:楽天ブックス
価格:¥1,000
日本一やさしい新会社法の学校日本一やさしい新会社法の学校日本一やさしい新会社法の学校
販売店:楽天ブックス
価格:¥1,628
osadasoft

連結子会社のITガバナンス

日本版SOX法では「連結子会社のITガバナンスも親会社の情報システム部門の担当」と規定しています。

連結子会社の財務情報にかかわる情報システムが正しい処理を実行しているか、連結決算を作成する際の数字は正確か、システムの運用体制は整っているのか...など、親会社の情報システム部門は、こうしたことを連結子会社と連携を図って考慮しなければなりません。

さらに、システムの開発や運用を委託しているベンダーに対しても、会計処理に不正が起きないような仕組みが確立されているかの証明を求めなければなりません。

万一、ベンダーが納めたシステムにバグがあり、それを見抜けなかった場合には、ユーザー企業側が責任を問われることになります。

ベンダーは、仕様に関するすべての変更履歴を残したり、開発担当者とテストの担当者を分けて、内部統制が確立していることをユーザー企業に示す必要があります。この点を確認するのも情報システム部門の仕事になります。

文書化のポイント

内部統制の整備作業の多くは、「文書化」に充てられることになります。

内部統制に関わる文書は、「業務を制度化、標準化する」という社内における目的だけでなく、内部統制監査という第三者への証拠資料にもなるのですので、内部統制監査に耐えうるレベルで作成する必要があります。

日本における内部統制監査の「実施基準」は、まだ明らかになっていませんが、米国における内部統制監査の実施基準であるPCAOB(公開会社監視委員会)の監査基準第2号パラグラフ42には、文書化への要請事項が挙げられていますので、それらの要請事項に沿うと次の3つの文書が必要となります。

(1)業務記述書
個々の業務における作業内容や手順を記述した文書で、管理方針や職務分掌なども含まれます。

(2)業務フローチャート
業務の流れをフローチャート形式で記述した文書です。

(3)リスク・コントロール・マトリックス(RCM)
業務プロセスのどこにリスクがあり、それをどのようにコントロール(統制)しているのかを記述した文書です。

これらを内部統制における文書化の3点セットと呼ばれることもあります。

日本版SOX法における文書化とは

日本版SOX法では、財務報告の信頼性に係る内部統制を整備し、実際に内部統制が機能していることを検証し、さらにそれを外部監査人が監査することが要求されています。

これを実現するために、企業では内部統制がどのようになっているか、その有効性をどのように検証したか、その結果はどうだったか、問題があった場合にはどのように対応するのか、といったことを文書化する必要になってきます。

作成する必要がある文書は、業務プロセスを可視化する「業務フローチャート」、統制活動の有効性を評価するための「リスクコントロールマトリックス(RTM)」、業務プロセスを詳細に説明するための「業務記述書」です。

極端に言えば、内部統制の実務は「文書化」に尽きるといっても過言ではないでしょう。大量の文書を作成する必要がありますので、いかに文書化を効率よく実行するか、が内部統制対応の成功に欠かせないポイントといえるでしょう。また、業務の変化に対応して文書も更新する必要がありますので、その点も考慮しながら文書化作業を進めていくといいでしょう。

日本版SOX法(J-SOX法)とは

日本版SOX法は、簡単に説明すると、2006年6月に成立した「金融商品取引法」の中に盛り込まれた、企業の内部統制に関する規定のことを指します。

これによると、公開企業の経営者は、内部統制の整備と運用に関する責任を有し、「内部統制報告書」を提出する必要があります。

そして、この「内部統制報告書」に関する監査を、外部監査人は実施し、「内部統制監査報告書」とういう形で開示しなければなりません。

なお、JSOX法に関する詳細手続を定めた「実施基準」の公開草案が、この11月に公表されましたが、「実施基準」の確定は2007年早々になります。

内部統制プロジェクトの具体的な作業

J-SOX法で要請されている作業については、全社レベルの統制と業務プロセスレベルの統制に分けられ、J-SOX法対応のプロジェクト方針の策定が決定した後は、全社レベルの統制→業務プロセスレベル(文書化と評価)という流れで進んでいきます。

具体的な作業の一例とは、

@プロジェクト方針の策定

a.方針の決定と公表
b.プロジェクトチーム編成
c.評価範囲の策定
d.スケジュール決定
e.予算の編成

A全社レベル評価
a.全社レベルの統制評価
b.IT全般統制評価

B文書化および整備状況の評価
a.内部統制の文書化
b.内部統制の整備状況の評価

C運用状況の評価
a.内部統制の運用状況の評価

D外部監査
a.不備の改善
b.内部統制監査に対する協力
c.評価結果合意

内部統制監査と内部統制報告書

内部統制監査とは、読んで字の如し、「内部統制を監査する」ことです。内部統制監査では、財務諸表に不正や見誤りが生じるのを予防・発見する内部統制が適切に整備されているか、また、適切に運用されているかを監査します。

監査人は、経営者の主張(アサーション)を監査の立証命題(監査要点)として利用しますので、内部統制の監査においては、財務諸表にこれらの観点から不正や見誤りが生じることを予防・発見する内部統制が適切に整備・運用されているかを監査します。

また、内部統制報告書とは、金融商品取引法24条の4の4において定義される「当該会社の属する企業集団及び当該会社に係る財務計算に関する書類、その他の情報の適正性を確保するために必要なものとして内閣府令で定める体制について、内閣府令で定めるところにより評価した報告書」のことを言います。この内部統制報告書は、事業年度ごとに内閣総理大臣に提出する必要があります。

内部統制のコストとリスク

内部統制のコストは、リスクの最大値を超えてはならないと言われています。

不正な取引きは、内部統制を構築することで発生確率が低くなりますが、発生確率をどこまで下げるのにどれだけコストが掛るか詳細な検討が必要です。

また、適切な権限委譲は迅速な営業活動を可能にし、企業活動を合理化でき増益を期待することができます。

権限委譲の範囲を広げることにより発生すると予想されるリスクと、増益予想額とは前者の方が小さくなければなりません。リスクが大きくなり利益に逆ザヤが生じるとなるのは本末転倒ですから。

内部統制におけるコストとリスク、そして増益体質は、線で結ばれていますので、常に考慮しながら構築する必要があるのです。

内部統制とは

内部統制とは、企業経営者の意思に従い、事業を適切に遂行していくための企業内部の管理体制であり、その目的は次の通りです。

@業務の有効性と効率性を高める
A財務報告の信頼性を確保する
B事業活動に係る法規の遵守を促す
C資産を保全すること

これらが、企業内部に組み込まれ、組織内のすべての者によって遂行されるプロセス全体を内部統制といいます。

内部統制は、

a.統制環境
b.リスク評価
c.統制活動
d.情報と伝達
e.モニタリング
f.ITへの対応

といった基礎要素から構成され、これらが経営管理の仕組みに組み込まれて一体となって機能することで、上記の目的(@〜C)が達成されるのです。

情報システム部門の負担

日本版SOX法は、自社の財務報告に不正や誤りが生じないよう監視やチェックの体制を築く、すなわち「内部統制の確立」を企業に求めた法律である。

日本版SOX法が求めるのは、「財務情報の正確性」です。企業経営で重要な勘定科目について、それがどのように算出されたかを示すプロセスや証拠文書を残し、曖昧な部分がないよう計算されたことを証明する体制を作ることを規定しています。

当然ながら、情報システムそのもの、またはシステムの開発・運用体制についても対応を迫られることになります。

例えば、「不正が起きないように開発担当者と運用担当者を分ける」「開発時のドキュメントとテスト結果を残す」「アプリケーションの修正履歴とそのテスト結果を残す」などが必要になってきます。

一般的に、日本企業の情報システム部門は、付き合いの深い(長い)ベンダーと“あうんの呼吸”で作業を進める場合が少なくない。

ところが、SOX法では、こうした「あうんの呼吸=暗黙の了解」は通用しなくなる。システムに関する要求は文書化した上で、正式なプロセスを経て承認を受け、初めてシステムを修正できるのです。

修正したら、必ずテストを実施し、テスト・データや内容を証拠として残さなければなりません。もし、”あうんの呼吸”で作業してきた場合、作業内容によっては、これまでとは仕事のやり方を変える必要があります。

ベンダーの見積金額が高額?

内部統制の一つに「ITへの対応」があります。
公開企業はもとより中小企業でもIT投資への動きが活発化しています。

限られた予算内でシステムを導入を考えるも、ベンダーが出す見積書に愕然とし、システム導入を躊躇するケースも聞かれます。多くの場合、ベンダーの選定方法を再考せず諦めてしまうようですが、実は、ベンダーにも、さまざまな特徴があるのです。

業界・業種・業務、企業規模、技術などによる得意分野の違いや、またあるベンダーは中堅企業向けの基幹業務システム構築の経験は豊富だが、CTIシステム構築の経験はない、というように得意なシステム分野の違いもあります。

さらに、ベンダーもビジネスである以上、企業の要望にフィットしなくても、ベンダーがよく扱うパッケージを優先させて提案してくることもあります。

限られた予算の中でシステムを構築、あるいはパッケージを購入するために、まずしなければならないことは、「ベンダーの選定方法の見直し」です。

有名である、以前のシステム構築に関わっていた、という視点で選ぶのではなく、「同業種企業のシステムを構築した経験のある」ベンダーといった視点で探してみることです。

そして重要なのは「何を実現するためか」を明確にした要求仕様書を作成することです。高額な見積りになる多くの場合は、要求仕様が曖昧なために、企業に不要な機能を付加され、高額になってしまうことです。それを防ぐためにも「何を実現するのか」を社内で明確に決定し、それをはっきりとベンダーに伝えることです。

システムは構築すれば終わりというわけではありません。
稼働後、何かトラブルがあってもすぐ来てくれるという地元密着型のベンダーを選択するのも一つの手です。

企業側で、IT知識を持ち合わせ、かつ導入したい製品が決まっているのであれば、RFP(Request For Proposal:導入するシステムの概要や調達条件などを記述したもの)を作成し、複数のベンダーで合い見積もりを出してもらうのもよいでしょう。

フローチャートと業務記述書とは

フローチャートは、業務や作成した文書・データの流れに沿ってコントロールを図式化した文書です。

通常、コントロールには番号を付し、必要に応じて具体的な内容を記述します。フローチャートを作成することによって、部門間にわたるリスクに対してコントロールを適切に実施することができます。

業務記述書とは、業務プロセスを細分化したサブプロセスごとに業務の概要や手順とともに業務におけるコントロールを簡潔な表現によって作成した文書のことをいい、コントロール記述書と呼ばれています。

業務記述書には、各リスクの内容に対応したコントロールの種類や方法、コントロール担当者、証憑(エビデンス)など、内部統制に必要な情報をできる限り記載します。

J-SOXと米国SOX法との違い

米国のSOX法とJ-SOX法を比べた場合、J-SOX法の特徴として、内部統制不備の区分が2つであること、ダイレクト・レポーティングの不採用、の2点が挙げられます。

まず、内部統制不備の区分については、米国SOX法では「重要な欠陥」「重大な不備」「軽微な不備」の3つを設けていますが、日本版SOX法では、「重大な不備」と「軽微な不備」は、財務報告への直接的影響が大きくないため、あえて区分せず「不備」という形で一括りになっています。「重要な欠陥」と「不備」の二本立てにすることにより、評価手続きの煩雑さが緩和されています。

次に、ダイレクト・レポーティングについては、米国SOX法では、経営者が評価した内部統制の結果について、監査人がもう一度、監査上の要点を選定するところから監査をし直す必要があります。これが、作業量、文書量を倍増させる結果をもららしており、費用対効果の観点から、日本版SOX法では採用は見送られています。よって、日本版SOX法では、経営者が内部統制を評価し作成した内部統制報告書を、監査人が監査する、という形をとっています。

ITガバナンスとは

ITガバナンスとは、一言で言えば、企業が競争優位性構築を目的に、IT戦略の策定・実行をコントロールし、あるべき方向へ導く組織能力のことをいいます。

これは、1999年に経済産業省(当時通商産業省)が、『企業のITガバナンス向上に向けて』というレポートにおいて示した見解で、法律で示されているわけではありませんが、ITインフラやIT関連の業務の存在意義、すなわち、企業価値を生み出す一端を担っているかについて何らかの証明が必要だということでしょう。

ITガバナンスの実現手法として有効とされているのが、米国を中心に、各国で、内部監査に使用しているCOBITです。

今後、ITに関する策定・実行・管理体制等を把握できているということが必要になってくるでしょう。

内部統制とコンプライアンス

コンプライアンスとは、一般的に「法令遵守」と理解されています。この法令というのは、法律というものだけではなく倫理意識の醸成など広く捉えています。

COSOレポートでは、内部統制とは「業務の有効性と効率性、財務報告の信頼性、関連法規の遵守という目的の達成に関して合理的な保証を提供することを意図した、事業体の取締役会、経営者、およびその他の構成員によって遂行されるプロセス」と定義され、コンプライアンスが組織構成員に法令を遵守させること、そのための手段ということであれば、コンプライアンスは、内部統制の3つの目的のうち、関連法規の遵守を意識した内部統制そのものということになります。

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。