 |
 |
 |
| (拡大図) | (拡大図) | (拡大図) |
| 業務の流れ図(例) | 業務記述書(例) | RCM(例) |
|---|
金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」2006年11月
http://www.fsa.go.jp/news/18/singi/20061121-2.pdf より
かなりの長文ですが,ここでは,「概要説明」「法規・基準」「ITとの関連」の3つに区分して説明しています。
金融商品取引法(日本版SOX法),COSO,SOX法(企業改革法),内部統制,金融庁基準
日本版SOX法とは,上場企業に対して,財務報告の信頼性向上のために,財務報告書とともに,
・経営者が財務に関する内部統制を行った内部統制報告書
・その報告書を監査人(公認会計士)が監査した監査証明書
の提出を義務づけたものです。
財務報告書とは,貸借対照表や損益計算書など企業の財政状態および経営成績を公表するものです。財務報告書は,多くの関係者に影響しますので,正しいことが求められます。
ところが,実際以上に成績をよく見せようとする粉飾決算,脱税を目的とした逆粉飾決算が行われがちです。☆
このような不正行為は,多数の関係者に多大な損害を与えますし,資本主義の基盤を崩すことにもなりますので,法律で厳しく禁止されています。その一つとして,第三者である公認会計士による会計監査を行い,財務報告書が真実であることを証明することになっています。
それにもかかわらず,不正な決算操作が行われています。会計監査だけでは不正操作が発見しにくいこともありますし,公認会計士がその不正に加担している事件もあり,大きな社会問題に発展しました。☆
それで,公認会計士による会計監査だけでなく,財務処理での誤りや不正が発生しないように,社内でも経営者が責任を持って内部統制の仕組みを整備すること,それが正しく運営されていることを経営者が評価して公表すること,さらに監査人がそれを監査することにしたのです。
日本版SOX法という法律は存在しません。「証券取引法等の一部を改正する法律」の一部を取り出したものです。また,その実施の方法は,法律以外での各種基準で示されています。
法律の一部だけを取り出して,あえて「日本版SOX法」というのは,これに対処するには,リスクの調査,業務の仕方の見直し,統制体制の整備,文書類の整備・維持などに多大な変革やコストがかかり,企業経営に大きな影響を与えるからです。
経営者が業務や情報システムを掌握するために,本来これらは整備されているのが当然だといえます。逆にいえば,日本版SOX法はこれらを行うための機会だともいえます。(後述参照)
このような取組みは,米国ではSOX法により実施されました。日本での取り組みはこれを参考にしているので「日本版SOX法」といわれるのです。その概要を示します。 (詳細)
米国では1980年代前半に多くの企業の経営破綻が大きな社会・政治問題となりました。これに対処するために,「トレッドウェイ委員会組織委員会」(COSO)は,1992年に「内部統制-基本的枠組みのフレームワーク」(COSO報告書)を公表して、不正な財務報告を防止し発見するためのフレームワークとその方策を勧告しました。
さらに,2001年から2002年にかけて,監査法人も加担して巨額な粉飾決算を行ったエンロン事件やワールドコム事件が発覚しました。
それを受けて,「Public Company Accounting Reform and Investor Protection Act of 2002:企業改革法」(提出者の名前からSarbanes-Oxley Act:SOX法という)が制定されました。
この404条で,CEO/CFOが財務報告にかかわる内部統制が有効に行われていることを宣言・署名すること,監査人が内部統制の有効性について監査意見を表明することが定められています。
なお,内部統制の具体的な実施に際しては,COSO報告書に基づいて行うこととされています。
このSOX法は,かなり厳格な内容だったので,企業や監査人に多大な負担がかかりました。それで,米国でも運用での緩和措置をとることが検討されるようになりました。
日本版SOX法では,このSOX法をベースにしていますが,その後の米国での問題点やIT活用の発展などを考慮して,いくつかの修正をしています。☆
前述のように,金融商品取引法は「証券取引法等の一部を改正する法律」と「証券取引法等の一部を改正する法律の施行に伴う関係法律の整備等に関する法律」の二つにより定められています
★証券取引法等の一部を改正する法律
http://www.fsa.go.jp/houan/156/hou156_02c.html
★証券取引法等の一部を改正する法律の施行に伴う関係法律の整備等に関する法律
http://www.fsa.go.jp/common/diet/164/01/hou/index.html
金融商品取引法の目的
第1条
この法律は、企業内容等の開示の制度を整備するとともに、金融商品取引業を行う者に関し必要な事項を定め、金融商品取引所の適切な運営を確保すること等により、有価証券の発行及び金融商品等の取引等を公正にし、有価証券の流通を円滑にするほか、資本市場の機能の十全な発揮による金融商品等の公正な価格形成等を図り、もつて国民経済の健全な発展及び投資者の保護に資することを目的とする。
このように,全体は株取引の公正化を目的としたものですが,
第24条(有価証券報告書の提出)
に内部統制に関する規定があります。
この法律は,原則として全上場企業を対象とし,「平成20年(2008年)4月1日以後に開始する事業年度から適用」されます。3月決算の企業では,2009年3月の決算報告に,代表者確認書,内部統制報告書およびその監査証明をつけることになります。
金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」
http://www.fsa.go.jp/singi/singi_kigyou/tosin/20070215.pdf
この実施基準は,内部統制の基本的枠組みを説明して,内部統制を実際に行うときの方法を示したものです。次の構成になっています。
Ⅰ.内部統制の基本的枠組み 1.内部統制の定義(目的) (1)業務の有効性及び効率性 (2)財務報告の信頼性 (3)事業活動に関わる法令等の遵守 (4)資産の保全 (5)4つの目的の関係 2.内部統制の基本的要素 (1)統制環境 (2)リスクの評価と対応 (3)統制活動 (4)情報と伝達 (5)モニタリング (6)IT(情報技術)への対応 3.内部統制の限界 4.内部統制に関係を有する者の役割と責任 (1)経営者 (2)取締役会 (3)監査役又は監査委員会 (4)内部監査人 (5)組織内のその他の者 5.財務報告に係る内部統制の構築 (1)財務報告に係る内部統制構築の要点 (2)財務報告に係る内部統制構築のプロセス |
Ⅱ.財務報告に係る内部統制の評価及び報告 1.財務報告に係る内部統制の評価の意義 2.財務報告に係る内部統制の評価とその範囲 (1)財務報告に係る内部統制の有効性の評価 (2)評価の範囲の決定 3.財務報告に係る内部統制の評価の方法 (1)経営者による内部統制評価 (2)全社的な内部統制の評価 (3)業務プロセスに係る内部統制の評価 (4)内部統制の有効性の判断 (5)内部統制の重要な欠陥の是正 (6)評価範囲の制約 (7)評価手続等の記録及び保存 Ⅲ.財務報告に係る内部統制の監査 1.内部統制監査の目的 2.内部統制監査と財務諸表監査の関係 3.監査計画と評価範囲の検討 (1)監査計画の策定 (2)評価範囲の妥当性の検討 4.内部統制監査の実施 (1)全社的な内部統制の評価の検討 (2)業務プロセスに係る内部統制の評価の検討 (3)内部統制の重要な欠陥の報告と是正 (4)不正等の報告 (5)監査役又は監査委員会との連携 (6)他の監査人等の利用 5.監査人の報告 (1)意見に関する除外 (2)監査範囲の制約 (3)追記情報 |
内部統制は,基本的に,目次に示した4つの目的を達成するためのプロセスであり,6つの基本的要素から構成されています。実施基準では,この有効性について経営者による評価及び報告並びに公認会計士等による監査を実施する際の方法及び手続についての考え方を示したものです。
内部統制を行う目的には次の4つがあります。単に財務報告の信頼性を向上させるだけでなく,企業の業務にも有効であることが示されています。
基本的要素とは,内部統制の目的を達成するために必要とされる内部統制の構成部分であり,内部統制の有効性の判断の規準となるものです。
これら4つの目的はそれぞれに独立しているが,相互に関連しています。それぞれの目的を達成するには,すべての基本的要素が有効に機能していることが必要であり,それぞれの基本的要素は,内部統制の目的のすべてに必要になるという関係にあります。
実施基準はCOSO報告書をベースにしていますが,米国での実施後の状況や日本での経営環境を考慮して,いくつかの変更をしています。
内部統制の目的では「資産の保全」を加えており,基本的要素では「ITへの対応」を明示的に追加しました。
「資産の保全」では,資産の取得,使用及び処分が正当な手続及び承認のもとに行われることが重要であることから,独立させて1つの目的として明示したのです。内部統制において,監査役が「業務調査権」や「財産調査権」という権限を十分に行使できる効果もあります。
「ITへの対応」は,COSO報告書公表後のIT環境の飛躍的進展により,ITが組織に浸透した現状に合わせて,独立した要素としたのです。
なお,COSO報告書では「構成要素」であったものを,これらの要素は例示であることを明確にしたいことから「基本的要素」としていています。
米国では,SOX法の実施で多大な作業・費用が発生し,経営に支障を与えるケースも発生しました。そのような経験から,実施基準では,企業や監査人に過度な負担になることを避け,現実に実施しやすいように,緩やかな基準になっています。
実施基準には明確な基準は示されていないので,どのような文書をどのような形式で作成するかは企業に任されています。ところが実施基準の付録として,「業務の流れ図」「業務記述書」「RCM(リスク・コントロール・マトリックス)」が掲げられており,この3つの文書が標準的な文書だと一般にいわれています。
|
|
|
| (拡大図) | (拡大図) | (拡大図) |
| 業務の流れ図(例) | 業務記述書(例) | RCM(例) |
|---|
金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」2006年11月
http://www.fsa.go.jp/news/18/singi/20061121-2.pdf より
「あるべき姿(To Be)」ではなく,「現状(As Is)」を記述するのだということに注意する必要があります。ここでの現状とは,内部統制報告書提出時点のことです。
この3つの文書のうち,最も重要で作業が大変なのはRCMです。
ここでは実施基準での「ITへの対処」に関する事項を掘り下げます。
「Ⅰ.内部統制の基本的枠組み」では,基本的要素として「ITへの対処」を追加した理由とIT統制の考えかたを示しています。
「Ⅱ.財務報告に係る内部統制の評価及び報告」では,評価対象とするシステムの決定方法とIT統制の評価項目を示しています。
「Ⅲ.財務報告に係る内部統制の監査」では,監査人がIT統制を評価する検討項目を示しています。
なお,実施基準では「情報システム」とは「情報を処理及び伝達する仕組み」としており,ITだけでなく,手作業での処理も含むし,それを取り巻く組織や業務も含んでいます。それに対して「IT」はコンピュータ等の利用を指しています。
「ITへの対応」を「IT環境への対応」と「ITの利用及び統制」に区分しています。
財務報告に係る全社的な内部統制に関する評価項目の例として,次の事項をあげています。
ITに係る全般統制については,例えば次のような点において有効に整備及び運用されているか評価します。
ITに係る業務処理統制が,適切に業務プロセスに組み込まれ有効に整備及び運用されているかを評価します。次の例をあげています。
経済産業省「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」2007年3月
http://www.meti.go.jp/press/20070330002/systemkijun-tsuiho.pdf
「システム管理基準」(sec-houki-kijun)とは,企業でのシステム監査を行うときに,監査の判断尺度として用いるべき基準として,2004年に策定されていました。
経営戦略に沿って効果的な情報システム戦略を立案し,その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で,効果的な情報システム投資,リスクコントロールを適切に整備・運用するための実践規範になっています。
この「IT統制ガイダンス」は,「実施基準」の「ITへの対応」に関して,システム管理基準を増補したものです。「ITへの対応」への取組み方法を具体的な例をあげて説明したものです。しかし,これは例示であり,それに従うべきだとか最善な方法だというのではありません。
すなわち,実施基準が日本版SOX法遵守のための基本的な規範を示していることに対して,IT統制ガイダンスは,対処方法を具体的に例示したものになっています。
IT統制ガイダンスの目次は次の通りです。
Ⅰ章 本追補版の構成と用語について
●理論編
Ⅱ章 IT統制の概要について
1. 財務報告とIT統制
(1)金融商品取引法に求められている
内部統制とITの関係
(2) 財務報告とIT統制の関係
2. IT統制の統制項目
(1) IT全社的統制
(2) IT全般統制
(3) IT業務処理統制
Ⅲ章 IT統制の経営者評価
1. IT統制の評価のロードマップ
2. 評価の決定と対象となるITの把握
3. IT全社的統制の評価
4. 業務プロセスに係るIT統制の評価
5. IT統制の有効性の判断
|
●理論編 Ⅳ章 IT統制の導入ガイダンス(IT統制の例示) 1. ガイダンスの使い方 2. IT全社的統制 3. IT全般統制 4. IT業務処理統制 5. モニタリング 付録 1.システム管理基準追補版と他の基準との対応 2.システム管理基準の統制目標の使い方 システム管理基準の管理項目と統制目標の対応(例) 3.ITコントロールとITの具体的な技術の例示 4.評価手続等の記録及び保存 5.サンプリング 6.リスクコントロールマトリクスの例 IT全般統制評価記述書 IT全社的統制評価記述書 IT業務処理統制評価記述書 |
第Ⅱ章と第Ⅲ章は理論編で,IT統制についての基本的な枠組みを提供しています。
第Ⅳ章は導入編で,IT統制の3区分であるIT全社的統制,IT全般統制,IT業務処理統制について,IT統制の例を具体的かつ詳細に説明しています。
付録では,関連する各種基準との対比や,リスクコントロールマトリクスの記述例など実務作業での例示を掲げています。
「IT全般統制」を例にすると,IT統制ガイダンスでは,実施基準を次のように詳細化・具体化しています。
第Ⅱ章:統制項目の例
・ ソフトウェアの開発・調達
・ IT基盤の構築
・ 変更管理
・ テスト
・ 開発・保守に関する手続の策定と保守
第Ⅲ章:評価の観点
第Ⅱ章:統制項目の例
・ 運用管理
・ 構成管理(ソフトウェアとIT基盤の保守)
・ データ管理
第Ⅲ章:評価の観点
第Ⅱ章:統制項目の例
・ 情報セキュリティフレームワーク
・ アクセス管理等のセキュリティ対策
・ 情報セキュリティインシデントの管理
第Ⅲ章:評価の観点
第Ⅱ章:統制項目の例
・ 外部委託先との契約
・ 外部委託先とのサービスレベルの定義と管理
第Ⅲ章:評価の観点
ここでは,各統制項目について,【統制に関する指針】【統制目標の例】【統制の例と統制評価手続の例】を示しています。
次は,「4.IT業務処理統制」「(1)入力管理(入力統制)-入力データの作成から保管等までの情報システムのデータの管理-」の例です。
業務プロセスにIT を利用する場合は、入力する元データの作成、入力の実施、確認、入力した元データの保管、廃棄の管理を実施する。入力では、情報システムに対する直接の手作業で実施される場合とフロッピー、CD 等の磁気媒体、EDI 等のデータ伝送、インターネットを経由してくる場合がある。データの入力で誤りや不正があると、このデータから処理され生成される財務情報に誤りや不正が発生することになる。そのため、入力されたデータが重複なく、正しいデータのみが入力さ れるような統制が必要である。
| 4-(1)-① | 入力管理ルールを定め、遵守すること ⇒(システム管理基準 Ⅳ運用3(1)) |
| 4-(1)-② | データの入力は、入力管理ルールに基づいて漏れなく、重複なく、正確に行うこと ⇒(システム管理基準 Ⅳ運用3(2)) |
| 4-(1)-③ | データの入力の誤り防止、不正防止、機密保護等の対策は有効に機能すること ⇒(システム管理基準 Ⅳ運用3(4)) |
| 4-(1)-④ | 入力データの保管及び廃棄は、入力管理ルールに基づいて行うこと ⇒(システム管理基準 Ⅳ運用3(5)) |
| リスクの例 | 統制の例 | 統制評価手続の例 | |
| 4 -(1) -① |
財務情報の元となる データの入力に管理 ルールがなく誤りが 発生,もしくは不正な 入力が行われる。 |
入力データの作成,授受,検証, 入力の実施,入力後の確認,保 管等,情報システムヘのデータ 入力に伴う一連の作業について 手順,検証方法,承認方法を入 力管理ルールとして明文化す る。 |
入力データの作成,授受,検証, 入力の実施,入力後の確認,保 管等,情報システムヘのデータ 入力に伴う一連の作業について 手順,検証方法,承認方法を入 力管理ルールとして明文化して いるか確かめる。 |
| 4 -(1) -② |
財務情報の元となる 取引データの入力に 過不足が発生する。 |
入力管理ルールに記載されてい る手順に従い,入力データに欠 落,二重入力等の誤りが発生し ないように制御,検証をする。 |
入力管理ルールに記載されてい る手順に従い,入力データに欠 落,二重入力等の誤りが発生し ないように制御,検証する機能 があることを確かめる。 |
| 4 -(1) -② |
財務情報の元となる 取引データの入力に 誤りが発生,もしくは 不正な入力が行われ る |
入力管理ルールに記載されてい る手順に従い,正確に入力が行 われるように制御,検証をする。 |
入力管理ルールに記載されてい る手順に従い,正確に入力が行 われるように制御,検証する機 能があることを確かめる。 |
| 4 -(1) -③ |
財務情報に係る情報 システムを入力する 際に不正な入力が行 われる。 |
誤り防止,不正防止及び機密保 護等のために,正当な承認に基 づいて入力データの作成,取扱 い等をする。 |
入力データの作成,取扱い等は 正当な承認に基づいて実施され ていることを確かめる。 |
| 4 -(1) -④ |
財務情報の紛失,盗 難,漏えいが発生す る。 |
入力データの紛失,盗難,漏え い等を防止するため,保管及び 廃棄は入力管理ルールに基づい て行う。 |
入力データの保管及び廃棄は入 力管理ルールに基づいているこ とを確かめる。 |
2005年7月成立,2006年12月改正 (http://law.e-gov.go.jp/htmldata/H17/H17HO086.html)
この法律は,会社の設立,組織,運営及び管理について定めるものです。
有限会社の株式会社への統合,出資下限額の撤廃,類似商号規制の緩和,株主代表訴訟制度の合理化など,大きな改正が行われましたが,そのなかで,すべての大会社では,内部統制システムの構築の基本方針を決定することを義務づけています。
会社法と日本版SOX法を比較すると,次の点が異なります。
しかし,両者は次の類似点を持っています。
IT Governance Institute「COBIT for SOX 2nd Edition」 日本語版「サーベインズ・オクスリー法(企業改革法)遵守のためのIT統制目標」(2007年1月)
http://www.isaca.org/Template.cfm?Section=Home&CONTENTID=29776&TEMPLATE=/ContentManagement/ContentDisplay.cfm
自社のITガバナンスの成熟度レベルを認識し,そのレベルを向上させるための基準として,COBIT(Control Objectives for Information and related Technology)があります。(参照:std-cobit)
「COBIT for SOX」は,SOX法への対処のために,COBITを特化したものです。
目次は次の通りですが,全体の2/3が参考資料であり,IT分野でのSOX法対処のガイドラインとして用いられています。日本版SOX法への対処にも重要な参考文献になっています。
経営者向け要約 信頼できる財務報告の基礎 IT統制に関する指針の必要性 IT統制の把握 IT統制– 特有な課題 IT統制に関するPCAOBの指針 ITシステムの統制19 企業改革法遵守のための変化に関する人的要素の管理 変化に対するコミットメント 現在の状況に対する評価 障害の克服 基本原則の制定 COSOの定義 COSOのITへの適用 ITコンプライアンスのためのロードマップ 企業改革法の遵守 |
参考資料 A 企業改革法入門 B COSOとCOBIT C IT全般統制 D 業務処理統制(アプリケーション統制) E アプリケーションとテクノロジ層の一覧表の例 F プロジェクト見積りツール G 固有リスクの評価と統制の優先順位付け表 H 統制の文書化とテストのテンプレートのサンプル I 不備の評価決定手順の例 J スプレッドシートのサンプルアプローチ K 学んだ教訓 L SAS70調査報告書を用いる際の課題 M 重要な会計アプリケーションにおける職務分離 N 図表リスト 参考文献 |
情報システムの改訂を正しく行うことやトラブル発生時に適切な対処をすることは,ITの内部統制として重要です。
運用保守管理をITサービスマネジメントといいますが,それのベストプラクティスを示す基準にITIL(Information Technology Infrastructure Library)があります。これは国際規格ISO 20000なっています。(参照:std-itil)
現在,財務に関するデータ処理の多くは情報システムになっていますので,情報システムの内部統制が必要になります。実施基準などでは,情報システムの新規構築や見直しが必須だとはいっていません。しかし,以下に示すように,内部統制を円滑に行うには,それらを行うことが効果的です。
本来は,このようなことは,日本版SOX法に関係なく,情報システムの運営に必要なことなのです。日本版SOX法を情報システムを再整備する機会だととらえることもできるのです。
業務を情報システム化することにより,内部統制がしやすくなります。これまでに手作業や個人的に表計算ソフトなどで行っていた業務を情報システム化することが望まれます。
財務に関係する情報システムは会計システムだけではありません。会計システムの売掛金や買掛金が販売システムの売上データや購買システムの仕入データと連携しているように,ほとんどすべてのシステムが正しく構築され運用されていることを立証することが求められます。
それらの情報システムが統制ツールとして有効に稼動していることを立証するには,システムの構成,データの流れ,データの構造などを,関係者にわかりやすい形式で文書化する必要があります。これらは本来,システム構築するときに整備しておくべきことですが,長年の改訂などを厳密に反映していないことが多いのです。
また,データのトレーサビリティを把握するための記録も必要になりますが,以前のシステムでは,そこまで考慮していないシステムも多くあります。
しかも,情報システム内部の正確性だけでなく,入力されべきデータが必ず入力されていること,オーソライズした情報システム以外の手段でデータ処理が行われていないことなど,情報システム以外の業務まで検討しなければなりません。
情報システムが正確に運用されるには,自然災害,機器の故障,過失,犯罪などの脅威から情報システムが保護されていること,すなわち,情報セキュリティ対策が適切に行われていることが必要です。
これも,通常のセキュリティ対策だけでなく,アクセスする権限を持つ正規の利用者による過失や犯罪からの保護が大きな要素になりますし,セキュリティ対策が適切に行われていることを関係者に説明できることが求められます。
内部統制の体系を作成するには,多くの文書化が必要になります。特に重要なのが,リスクコントロールマトリクスの作成と維持運営ですが,それには主なものだけでも,
業務プロセスフローを作成して,それに伴うリスクを列挙する。
各リスクと財務諸表の信頼性確保要件との関係を明確にする。
各リスクを防ぐ手段(コントロール)を列挙する。
各コントロールのポイント,タイプの区分をする。
各コントロールを行う頻度,担当者,規定類,確認書類を整備する。
などを,関係者にわかりやすいように可視化して整備すること,その実施状況を記録することが必要になります。
これらの列挙項目に抜けがないか,相互の関連で矛盾がないか,運営でのログをどう記録するか,さらにこれらの参照を容易にするにはどうするかなどを考えると,単に表計算ソフトを用いて整理するのでは無理があり,専用のツールが必要になります。そのためのツールも市販されていますが,実際に使いやすくするためには,いろいろな工夫が必要になります。