More Related Content
Similar to 内部統制資料(Sox法) (20)
内部統制資料(Sox法)
- 2. 内部統制(internal control)
・内部統制とは?
社会に大きな影響を与える違法行為から小さな不正、間違った財務会計が企業で行われな
いようにするために必要とされる基準と手続きであり、その手続きが正しく運用されていること
を監査し証明することである。
最近、内部統制という言葉が飛び交うようになった背景として、必ずといっていいほど取り上
げられるのが「会計不祥事」である。代表的な例として下記のような出来事がある。
・2001年12月に破綻したエンロンの会計不祥事
・米ワールドコムの会計不祥事(ワールドコムの負債金額は米国史上最大といわれる約4兆7000億円)
・日本では西武鉄道やカネボウの不祥事
つまり、第2のエンロンやワールドコムを作らないための内部統制と言える。
※内部統制を義務付けるものとしてSOX法がある。
- 3. SOX法
・SOX法とは?
米国で2002年7月に制定された法律。この法律により、米証券取引委員会(SEC)に登録
されている全ての企業の経営者は、年次報告書を開示する際、内容に虚偽記載がない事を
宣言するとともに、財務報告書の健全性を保つ為に、内部統制報告書の作成を義務づけられ
ている。
さらにこれらの報告書は、公認会計士等の監査を受けることが義務づけられている。
・JSOX(日本語版SOX)法とは?
実際には、日本版SOX法は存在しない。その代わりに日本はこの法律をお手本にした「金
融商品取引法」と「会社法」が内部統制を義務化している。
日本版SOX法と呼ばれている金融商品取引法では、「内部統制報告書の作成」と「内部統
制報告書に対する監査証明の義務付け」がある。日本版SOX法では経営者にこのプロセス
を整備、運用し、有効性を自ら評価し結果を報告する、そしてこの経営者による一連の流れを
監査人により監査することを求めている。
これらは上場企業およびその連結子会社に、会計監査制度の充実と企業の内部統制強化
を求めている。
※ 金融商品取引法では「2008年4月以降に開始する事業年度から」内
部統制報告書の提出・監査を義務付ける。
- 4. 日米SOX法の比較
米国 日本
企業改革法(SOX法) 金融商品取引法
法律
2002年7月30日成立 2006年6月7日成立
500万ドル以下の罰金又は 5年以下の懲役もしくは
罰則
20年以下の禁固刑、又はその併科 500万円以下の罰金、又はこれの併科
対象企業 時価総額0.75億ドル以上の企業 すべての上場企業
トップダウン型の
評価の範囲 ほぼすべて
リスクアプローチ
株価主体 経営者+外部監査人監査 経営者+外部監査人監査
ダイレクト
○ ×
レポーティング
内部統制監査
別々の監査法人 同一の監査法人
/会計監査
不備の区分 重大な欠陥、重大な不備、軽微な不備 重大な欠陥、不備
ITへの言及 無し ITへの対応
- 5. やるべきこととは?
・JSOX法で行うべきこと
・システム部門の業務を見直して、問題点を洗い出す。
・これまでやってきたことをより徹底する。
・やるべきだと自覚しているがまだ手を付けていなかったことを実行する。
・監査用の文書を作成する。
業務フロー図
RCM(リスクコントロールマトリスク)
・内部統制で行うべきこと リスク 影響 対策 状況
内部統制では3つ文書化を行う。 1.○○ ×× ・・・・・・ ・・・・・
・3つの文書化とは? 2.○○ ×× ・・・・・・ ・・・・・
1.業務フロー図の作成 3.○○ ×× ・・・・・ ・・・・・・
部署名 業務内容
2.業務記述書の作成
○○部 ・・・・・・・・・・・・・・・・・・・・・・
3.リスクコントロールマトリスクの作成
××部 ・・・・・・・・・・・・・・・・・・・・・・
営業部 ・・・・・・・・・・・・・・・・・・・・・・
セキュリティ部 ・・・・・・・・・・・・・・・・・・・・・・
- 6. 内部統制対応までのフロー
1.業務分析と業務整備 現状業務の分析
準備 ドキュメント:業務マニュアル、報告書等 業務内容・マニュアルの整備
2.業務改善・最適化 業務フローの作成
ドキュメント:業務フロー、業務範囲表 業務範囲表の作成
3.リスク評価と試行 RCM(リスク管理表)の作成
ドキュメント:リスクコントロールマトリックス(RCM)
4.レビューと試行 業務ウォークスルー(必要なものとして
ドキュメント:改善レポート 業務フロー、業務マニュアル等)
運用
(通年)
5.業務遂行と内部統制 業務活動、統制活動
ドキュメント:業務記録、統制活動記録 繰り返し 業務処理記録
6.モニタリング 定期的な内部監査
ドキュメント:内部監査レポート
報告 7.内部統制報告 内部統制報告書の作成
(期末) ドキュメント:内部統制報告書
- 7. 対策
・現状把握・問題
日本版SOX法を巡る動きが加速している。2009年3月期からの対応が見込まれ、残され
た準備期間はそれほど多くありません。この限られた時間の中で、企業は会計監査制度
の充実と企業の内部統制強化をどのように行っていけば良いのか?
・具体的対策
内部統制の実施には、ITレベルでの対応も必要になってきます。企業規模や業務の成熟
度によって程度の差はあれ、日本版SOX法対応にある程度の投資は避けられません。であ
れば、同法の狙いを汲み取り企業競争力を強化するIT統制の対策が必要になります。
そこで注目されるのが、ITIL、COBIT、ISO20000などのフレームワークです。 SOX法の要求
事項とITILやCOBITが目指す方向性には共通点が多く、ITILやCOBITのような標準的なフ
レームワークを活用することでSOX法への対応負荷を軽減できる。
- 8. ITIL、COBIT、ISO2000の概要
・ITILとは(Information Technology Infrastructure Library)
英国政府機関が作成・文書化したITサービス管理のベストプラクティス(成功事例)集です。ITサービスの運用や保守を効
率的に実践していくためのノウハウがまとめられ、欧米では行政機関や企業を中心に導入が広がり、ITサービス管理分野で
の事実上の標準となっている。 ITILは、「サービスサポート」「サービスデリバリ」「ITインフラ管理」「ビジネス展望」「アプリ
ケーション管理」「セキュリティ管理」「サービス管理導入計画」「ソフトウェア資産管理の」の8つのパートで構成されている。
ITILを導入し活用することで、ITサービスの品質向上やサービスレベルの適正化につながることが期待されている。
・COBITとは(Control Objectives for Information and related Technology)
米国の情報システムコントロール協会が提唱するITガバナンスの成熟度を測るフレームワークです。COBITでは開発側・
利用側双方をマネジメントすることで、セキュアな環境の下、ITを積極活用できる体制作りの指標を提示している。 COBITは、
ITの企画から運用に至るまでのフローを4つの管理プロセスと34のITプロセスとして定義し、それぞれのプロセスについて、
重要成功要因と、その成熟度レベルを6段階で定義される。 IT組織の成熟度を測るモデルとしてはほかにCMMなどが有名
ですが、COBITでは「リスク」という概念が強く打ち出されていることと、ベンダからの「IT調達」を前提にしているという特徴が
ある。
すでにどこの企業もこの認証を目指している!
・ISO20000とは
ITサービスマネジメント(ITSM)に関する英国規格BS15000をベースとして開発された国際規格です。組織が効果的かつ効
率的に管理されたITサービスを実施するためのフレームワークと評価仕様を示している。この規格に基づくマネジメントシス
テムは、IT部門が組織内部に導入することも、ITサービスを提供する企業が外部から実施することもできます。 BS15000は、
ITSMを対象とした世界初の唯一の監査用の仕様です。英国商務局(OGC)がITインフラストラクチャライブラリ(ITIL)の中で定
義したプロセスアプローチと整合しており、かつ補完し合うものです。そしてITサービス業界が認めた規格であり、ベストプラ
クティスを実践し、達成するための最新の方法でもある。
- 9. ITILとCOBIT、SOX法との関係
・SOX法対応→COSO準拠→COBIT準拠→ITIL準拠という一気通関のシナリオ
企業統制の源泉
・米国トレッドウェイ組織委員会(COSO)で策定された内部統制フレー
COSO ムワーク
源泉 法律(義務)
SOX法 ・COSOを源泉としてSOX法が制定
ITの成熟度の測定基準
保証
・COBIT(統制活動の基準とするフレームワーク)で、IT内部統制の達
COBIT 成度合い(成熟度)を測定する
改善 IT運用における参考書
ITIL ・ITIL(ベストプラティクス)を参考に、COBITの成熟度を高める
※1 ⽇本版SOX法(⽶SOX法も)は、内部統制のフレームワーク「COSO」に準拠している。
※2 COSOの構成要素はITガバナンスのフレームワーク「COBIT」と対応付けられている。
※3 COBITが定めた管理⽬標を現場の運⽤に落とし込むときにITILに照らし合わせる。
- 10. まとめ
つまり、ITサービスをコントロールしビジネス
に効果をもたらすIT運用が求められる。
法律や経営者からの内部統制に対する要求
しかし、
企業の担当者はやり方がわからずに困って
いる。
企業の担当者メンバー
そこで、
ハードウェア
導入計画
環境
サービス マネジメント
ネットワーク
ITILやCOBITなどのグローバルスタンダー
サービスサポート
顧客 テ ドのマネジメントフレームワークを活用する。
ビ ビジネスの
展望
ICTインフラ
管理
ク
ユーザ
ジ ノ
ネ ロ
ス
サービスデリバリ
セキュリティ管理
ジ
サービス ー
製品
アプリケーション管理
データベース
ソフトウェア資産管理 ソフトウェア