1.内部統制の概要
┣J-SOXと米国SOX法との違い
┣新会社法の内部統制
┣日本版SOX法の目的
┣日本版SOX法の内部統制
┗COSOフレームワーク
詳しく見る
2.内部統制の構築
┣ソフトウェア資産管理基準
┣予防的統制と発見的統制
┣内部統制の整備状況
┣内部統制における職務分掌
┣内部統制構築のポイント
┣内部統制の具体的作業
┣文書化のポイント
┣フローチャートと業務記述書
┣ITガバナンス
┣連結子会社のITガバナンス
┣内部統制で防ぐカイティング
┣内部統制の有効性評価
┣内部統制のコストとリスク
┣フローチャートを作成する
┗ITに関する内部統制
詳しく見る
3.関連ニュース
┣J-SOX対策「MaLion2.0」発表
┣建設業向け内部統制モデル
┣Salesforceで内部統制強化
┣金融庁、Q&A集を公表 
┣OBC、「奉行V ERP」を発表
┣東証が上場制度整備方針
┣文書実例集「Fact-JSOX」
┣内部統制の枠組み・確定版
┣監査委員会監査の実施基準
┣アイデンティティ管理最新版
┣IT全般統制対応テンプレート
┣COBITコンサルティング
┣短期・低価格のワークフロー
┣退職給付債務計算サービス
┣内部統制対応版ERP
┣電子文書統合管理ASP
┣SOAでシステム構築
┣18号に基づく監査報告書作成
┣弥生「弥生08シリーズ」発売
┣監査実務上の取扱いを公表
┣文書化テンプレート集を発売
┣評価支援サービスを開始
┣人事給与就業文書3点セット
┣文書化支援ツールJUDE/Biz
┣JSOX クイックドキュメント
┣IT業界向けJSOXガイドライン
┣Visio内部統制文書化ツール
┗Mac対応の内部統制ツール
詳しく見る
内部統制のための指針「ソフトウェア資産管理基準Ver.2.0」
ITベンダーや監査法人など16の企業・団体で構成するソフトウェア資産管理コンソーシアム(SAMCon)は、11月27日、2002年にVer.1.0を発表して以来、5年ぶりの改訂となるソフトウェア資産を管理するための実務的な基準「ソフトウェア資産管理基準Ver.2.0」を公表。
今回の改訂では、国際標準規格であるISO/IEC
19770-1に準拠した形で、管理基準に2つの新しい枠組みを設け、内部統制のための管理・運用の指針を大幅に刷新している。
ソフトウェア資産管理基準は、「ソフトウェア資産管理体制の整備」「所有ライセンスの把握」「セキュリティ上の配慮」など、13の枠組みに分類されており、それぞれの枠組みに(1)管理目標、(2)管理要件、(3)管理項目、が設けられている。管理要件は管理目標を達成するために必要な事項を示し、管理項目は管理要件を満たすための具体的管理内容を表している。管理項目の内容を実践することで、ベストプラクティスを実施できるとしている。
「ソフトウェア資産管理基準Ver.2.0」は、ソフトウェア資産管理コンソーシアムのWebサイトでダウンロードできる。
⇒
http://www.samconsortium.org/
予防的統制と発見的統制
(事例)
営業係長「あれぇ、今日、佐藤課長(営業課長)いないの?」
営業主任「はい」
営業係長「んじゃ、佐藤課長のハンコ押して、経理部に回しておいてくれる?」
営業主任「いいですよ」
・
・<数日後>
・
経理部長「佐藤君!この伝票はあなたが承認したのか?(怒)」
佐藤課長「えっ!?・・・あっ!すみません(そんな伝票にハンコ押したっけかな?)」
本来、営業係長⇒営業課長⇒経理担当⇒経理部長というように、承認・決裁・照査・確認等の手続きが原則で決まっていたため、佐藤課長の承認がなければ、後の処理がなされないはずです(予防的統制)。
これに対し、後日、経理部長が、その伝票が不適合だと発見しました(発見的統制)。経理部長は、たまたま見つけたかもしれませんが、ここでは、毎月毎月伝票をチェックしていると仮定しています。
内部統制の整備状況とは
内部統制の整備状況とは、『会社の管理がどのような仕組みやルールになっているか』である。例えば、「課長が伝票の内容を確認し、ハンコを押す(=承認)」というのがルール、すなわち、内部統制のデザインとなる。
しかし、これだけで適切な仕組みとなっているか分かりません。例えば、課長不在時に代行者が決まっておらず、とりあえず在席している人がハンコを押すといったルールになっているとしたら、整備上(運用上)の問題点といえる。
[参考]
■実施基準における内部統制上の不備の定義とは■
内部統制の不備は、内部統制が存在しない、または規定されている内部統制では内部統制の目的を十分に果たすことができない等の整備上の不備と、整備段階で意図したように内部統制が運用されていない、または内部統制を実施する者が内部統制の実施に必要な権限、能力を有していない等の運用の不備からなる。
内部統制における職務分掌
内部統制において「職務分掌」は重要なコンセプトである。基本的な職務分掌として、(1)取引記録、(2)取引承認、(3)現物管理、を一部門あるいは一個人が取り扱ってはいけないということである。
実際の業務プロセスでは、多くの業務に分かれているので、その業務を分割して行うことが望ましい。
例えば、販売に関わる業務プロセスを理想的な職務分掌にした場合、次のように挙げられる。
1.受注入力
2.受注承認
3.受注した商品の出荷
4.棚卸資産の記録
5.棚卸資産の保管
6.得意先への請求
7.債権の記録
8.債権の承認
9.入金処理
10.残高確認
11.得意先マスタの変更
12.得意先マスタの承認
...など、実に多くの業務プロセスが存在する。
これらを全て分掌しなければならないということではないが、職務分掌を構築していく過程では、「問題ない組み合わせ」「問題ある組み合わせ」があるので、一度、業務を細分化・文書化した上で職務分掌を行うといいだろう。
内部統制構築のポイント
まず、内部統制構築の事前準備は、『経営者(トップ)の意識改革』と言っても過言ではないでしょう。
内部統制構築を行わなかったり、構築しても品質面で問題があれば、企業の株価が下落したり、上場廃止から株主代表訴訟、最悪の場合、刑事罰まで科せられる可能性があるといえども、現実には、「管理にそんなに高いコストかけられない」、「会社法の対応でいいだろう」、「金を掛けるな」と、経営者に言われることは少なくありません。
しかしながら、このような状態のまま経営者の説得を行わず、内部統制の中途半端な理解で構築を進めても、構築過程において発生する数々の難題を打開する事はできません。
内部統制構築には、見切り発車で進めるよりも、まずは経営者がやる気になるまで、1ケ月でも2ケ月でも(場合によっては、半年、1年)と説得に時間を費やしたほうが賢明です。
経営者への説得には、経理担当(内部統制担当者)等の社内の人間では難しい場合もあり、そのような時には、監査役や社外の監査法人、コンサルタントの力を借り、理解を求めて行くことも有効です。
内部統制構築には、プロジェクトチームを発足する必要があり、このプロジェクトチームの責任者には、一般にCFO(最高財務責任者)が就く場合が多く、業種や業態にもよるが、1〜3人の専任者を選任することが必要だ。
メンバーには、J-SOX法が「財務報告書の信頼性確保」を目的としているため、経理の知識は重要となるが、経理スタッフばかり集めても動きが取れなくなってしまう可能性がある。これは内部統制構築には、企業内部のさまざまなリスクを把握し評価しなければならないため、幅広い業務知識が求められるからで、そのため、IT部門や経営企画室などからも選抜することが必要だ。
実際に実務を開始する前には、あらかじめ社内報や社内研修等で、社員に繰り返し内部統制の意義や必要性を周知させる必要がある。
また、トップ(経営者)からのお墨付きが有るのと無いのでは大きく違ってくる。これが無ければ、担当者は社内で浮いてしまったり、現場の積極的な協力が得られなくなってしまう。そこで、社内研修には経営者に参加してもらったり、中期計画に盛り込むなど、経営者の意向や意気込みを社員全員に伝えることも重要である。
内部統制システムの構築は、目的や目標を明確にし、計画を立てなければならない。
「とりあえず、フローチャートでも作ってみる」とか「とりあえず業務を文書化してみる」で始めても、途中で頓挫してしまったり、たとえ出来上がっても、必要な水準(J-SOX法の基準など)を満たしていないなど中途半端なものとなりがちである。
内部統制システムの構築には、
a.対象となる業務の範囲
b.達成すべきレベル
c.必要人員数(プロジェクトテームの人選等)
d.完了期限(進捗によって要調整)
e.進捗管理
など、具体的(可能な限り数値化したほうがいい)に決める必要がある。
内部統制には、100%の答えがあるわけではなく、企業が考え決めて行かなければならない。見直し対象となる業務内容は、その業務の担当者が熟知しており、改善点も承知しているはずで、経営層(あるいは上層部)からの一方的な押し付けではなく、現場の声や協力は必要不可欠である。全従業員が、共通の目的意識を持った上で取り組む必要がある。
内部統制の具体的作業
J-SOX法で要請されている作業については、全社レベルの統制と業務プロセスレベルの統制に分けられ、J-SOX法対応のプロジェクト方針の策定が決定した後は、全社レベルの統制→業務プロセスレベル(文書化と評価)という流れで進んでいきます。
具体的な作業の一例とは、
@プロジェクト方針の策定
a.方針の決定と公表
b.プロジェクトチーム編成
c.評価範囲の策定
d.スケジュール決定
e.予算の編成
A全社レベル評価
a.全社レベルの統制評価
b.IT全般統制評価
B文書化および整備状況の評価
a.内部統制の文書化
b.内部統制の整備状況の評価
C運用状況の評価
a.内部統制の運用状況の評価
D外部監査
a.不備の改善
b.内部統制監査に対する協力
c.評価結果合意
文書化のポイント
内部統制の整備作業の多くは、「文書化」に充てられることになります。
内部統制に関わる文書は、「業務を制度化、標準化する」という社内における目的だけでなく、内部統制監査という第三者への証拠資料にもなるのですので、内部統制監査に耐えうるレベルで作成する必要があります。
日本における内部統制監査の「実施基準」は、まだ明らかになっていませんが、米国における内部統制監査の実施基準であるPCAOB(公開会社監視委員会)の監査基準第2号パラグラフ42には、文書化への要請事項が挙げられていますので、それらの要請事項に沿うと次の3つの文書が必要となります。
(1)業務記述書
個々の業務における作業内容や手順を記述した文書で、管理方針や職務分掌なども含まれます。
(2)業務フローチャート
業務の流れをフローチャート形式で記述した文書です。
(3)リスク・コントロール・マトリックス(RCM)
業務プロセスのどこにリスクがあり、それをどのようにコントロール(統制)しているのかを記述した文書です。
これらを内部統制における文書化の3点セットと呼ばれることもあります。
フローチャートと業務記述書
フローチャートは、業務や作成した文書・データの流れに沿ってコントロールを図式化した文書で、通常、コントロールには番号を付し、必要に応じて具体的な内容を記述します。フローチャートを作成することによって、部門間にわたるリスクに対してコントロールを適切に実施することができます。
業務記述書とは、業務プロセスを細分化したサブプロセスごとに業務の概要や手順とともに業務におけるコントロールを簡潔な表現によって作成した文書のことをいい、コントロール記述書とも呼ばれている。
業務記述書には、各リスクの内容に対応したコントロールの種類や方法、コントロール担当者、証憑(エビデンス)など、内部統制に必要な情報をできる限り記載します。
ITガバナンス
ITガバナンスとは、一言で言えば、企業が競争優位性構築を目的に、IT戦略の策定・実行をコントロールし、あるべき方向へ導く組織能力のことをいう。
これは、1999年に経済産業省(当時通商産業省)が、『企業のITガバナンス向上に向けて』というレポートにおいて示した見解で、法律で示されているわけではないが、ITインフラやIT関連の業務の存在意義、すなわち、企業価値を生み出す一端を担っているかについて何らかの証明が必要だということだろう。
ITガバナンスの実現手法として有効とされているのが、米国を中心に、各国で、内部監査に使用しているCOBITである。
今後、ITに関する策定・実行・管理体制等を把握できているということが必要になってくるであろう。
連結子会社のITガバナンス
日本版SOX法では「連結子会社のITガバナンスも親会社の情報システム部門の担当」と規定している。
連結子会社の財務情報にかかわる情報システムが正しい処理を実行しているか、連結決算を作成する際の数字は正確か、システムの運用体制は整っているのか...など、親会社の情報システム部門は、こうしたことを連結子会社と連携を図って考慮しなければならない。
さらに、システムの開発や運用を委託しているベンダーに対しても、会計処理に不正が起きないような仕組みが確立されているかの証明を求めなければならない。
万一、ベンダーが納めたシステムにバグがあり、それを見抜けなかった場合には、ユーザー企業側が責任を問われることになる。
ベンダーは、仕様に関するすべての変更履歴を残したり、開発担当者とテストの担当者を分けて、内部統制が確立していることをユーザー企業に示す必要があり、この点を確認するのも情報システム部門の仕事になる。
内部統制で防ぐカイティング
カイティングとは、英語のkiting、つまり「凧あげ」という意味の他に、会計分野では「実態のない紙によって不正を働く」という意味を持っている。
カイティングの代表的な例として次のような事例が挙げられる。
預金担当者が預金を使い込んでしまい、会計監査が行われる際に、別の口座から預金を預け入れ、月末の残高を帳簿と一致させるという穴埋めをするという不正発覚を表面化させないという方法をカイティングという。
これは、社内に内部統制が働いておらず、一人で帳簿や小切手の振出の作業を兼務しているから生じる不正です。
こうした不正が働かないようにするには、小切手の振出と帳簿の記録を分離させること、つまり、内部統制における「担当者の責任と権限の分離」行うことが必要である。
内部統制の有効性評価
文書化した内部統制は、その有効性を社内で評価しなければならない。
有効性の評価とは、内部統制をその整備面および運用面から見て、有効に機能しているか否かをテストすることである。
ここでいう整備面とは、「その内部統制が、デザインとして見て有効に機能するように設計されているか」を評価することで、監査においては、主にウォークスルーといわれる方法で行われる。
このウォークスルーとは、具体的な取引事例を取り上げ、その取引が行われる準備から、契約書、納品書、社内の稟議書、社内のチェック、伝票の記票、証票書類の保管など、実務の流れに沿って、実際の書類を点検し、その過程にある内部統制を確認することである。
また、運用面とは、「当該内部統制が、設計どおり機能しているかどうか」をテストすることを指し、監査においては担当者への質問、統制手続きの観察、記録の閲覧・調査、場合によっては再実施も行う。
内部統制のコストとリスク
内部統制のコストは、リスクの最大値を超えてはならないと言われている。
不正な取引きは、内部統制を構築することで発生確率が低くなるが、発生確率をどこまで下げるのにどれだけコストが掛るか詳細な検討が必要である。
また、適切な権限委譲は迅速な営業活動を可能にし、企業活動を合理化でき増益を期待することができる。
権限委譲の範囲を広げることにより発生すると予想されるリスクと、増益予想額とは前者の方が小さくなければならない。リスクが大きくなり利益に逆ザヤが生じるとなるのは本末転倒である。
内部統制におけるコストとリスク、そして増益体質は、線で結ばれているので、常に考慮しながら構築する必要がある。
フローチャートを作成する
内部統制システムを構築するにあたり、まず現状を把握しなければ、リスク要因や改善項目が見えてきません。現状のフローチャートを調査し明らかにすることで、どの工程時に、ミスや不正等のリスク要因があるかを検討していく必要があります。
現状の把握には、実際に現場に足を運び「見る」「聞く」などにより、これらの結果を何らかの形で記録する必要があります。この場合、文章よりも図表で作成する方が、他の利用者の理解度や多目的への利用度(マニュアル・問題点の洗出し)でも有効なので、図表(フローチャート)での記録が一般的である。
■現状調査でのポイント■
1.工程は、なるべく詳細に書き込む
2.例外処理がある場合は、その処理方法・発生率・原因も記載する
3.ヒアリングの際は、現場担当者から日頃の問題点等も聞く
4.使用されている全帳票を集める
5.ヒアリングの結果はすみやかに清書する
内部統制システム構築において、重要なフローチャートとしては、「販売管理」「生産管理」「購買管理」「在庫管理」「資産管理」「人事管理」などがあげられる。
ITに関する内部統制
ITに関する内部統制は2つある。
「IT全般統制」と「IT業務処理統制」である。
IT全般統制とは、ITシステムを構築したり運用・変更するときのルールを定めること、データ(特に財務報告に関する会計データ)のバックアップを取ること、アクセス管理をきちんとすることなど、ITシステムの基盤に関して破綻が生じないようにすることである。IT全般統制は、法律でいうと憲法のようなものである。
企業会計審議会が2007年2月に発表した内部統制の「実施基準」では、IT業務処理統制として次の4項目を挙げている。
(1)入力情報の完全性、正確性、正当性等を確保する統制
(2)例外処理(エラー)の修正と再処理
(3)マスタデータの維持管理
(4)システムの利用に関する認証、操作範囲の限定などアクセスの管理
この4項目は、データの正確性を担保するために行うことといえる。例えば、売り上げデータが正確に入力されていることは仕事の基本である。入力データが正しければ、その後に処理される売り上げの集計やさらに財務報告書に至る数字も正しいものとなる。
しかし、人間がする以上、入力ミスもあり得る。もしも、入力ミスをしたら修正する必要が生じる。データの修正ができるようになっているか。それが(2)の内容である。通常のソフトウェアは修正できるようになっているのでそこに注意を払う必要はそれほどない。
マスタデータとは、顧客とその取引を包含したデータである。もし、実際には取引のない顧客をマスタに登録できるようでは具合が悪い。架空取引が生じる可能性があるからだ。誰でもマスタデータに触れることができてはいけない。そんなことが起きないよう、マスタデータのアクセスは厳重にしなければならない。そこに関係するのが(4)のアクセス管理だ。
データの入力・修正、そしてマスタデータの維持管理にとって重要なことはアクセス管理である。例えば、「会計主任はデータの入力も修正もできるが、主任以下の社員は入力しかできないようにする」ということを指す。権限に応じてデータへのアクセスを制限するということである。
業務処理に関する記録を取っておくことも大切で、ここでいう記録とは、誰がどのデータにいつアクセスしたのか、また、誰がどんなデータを印刷したのかという操作データをコンピュータ上に保管しておくことを指す。過去にさかのぼって問題が発見できるようにすること(証跡という)が記録を取る目的である。
IT全般統制がITシステム全般に関して構築・運用ルールを作るという側面が強いのに対して、IT業務処理統制は、会計管理システムや販売管理システムといったITアプリケーションを利用するうえで不正が生じない仕組みを作ることを求めている。そこで必要となるのはアクセス管理やログ管理の機能だ。つまり、IT業務処理統制を実行する際にはソフトウェア製品の機能がアクセス管理やログ管理などの機能を備えていると、企業は内部統制に対応しやすいといえる。
上場企業なら内部統制は避けて通れない経営課題だが、内部統制に対応すべく、業務を見直すのなら、いっそのこと業務改革を視野に入れた取り組みをした方が会社にとって大きな成果が得られるともいえるだろう。
