金融庁 財務報告に係る内部統制の評価及び監査基準(案) パブコメ反映後速報
こんにちは、丸山満彦です。2005.11.10に金融庁企業会計審議会内部統制部会があり、財務報告に係る内部統制の評価及び監査基準(案)のパブリックコメントを反映した結果が報告されたようですね。いろいろと変更があるようですが、内部統制の基本的要素として日本独自っぽく挙げられていた「ITの利用」が大幅に変更されましたね。
いずれ、公開されると思われますが、配布された資料から、「ITの利用」改め「ITへの対応」の部分を抜粋。
■新旧対比です。
(6) ITへの対応 ITへの対応とは、組織の内外のITに対して、組織目標を達成するために予め適切な方針及び手続きを定め、それを踏まえて業務の実施において適切に対応することをいう。 ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。 ITへの対応は、IT環境への対応とITの利用及び統制からなる。 |
(6) ITの利用 ITの利用とは、組織目標を達成するため組織の管理が及ぶ範囲において、IT環境に対応した情報システムに関連する内部統制を整備及び運用することをいう。 ITを利用した内部統制には、全般統制と業務処理統制の二つがある。組織の情報システムがITを高度に取り入れている場合、ITを利用した内部統制は内部統制の他の基本的要素の実施上の枢要な一部として重要な影響を及ぼすことになる。 |
① IT環境への対応 IT環境とは、組織が活動する上で必然的に関わる内外のITの利用状況のことであり、社会及び市場におけるITの浸透度、組織が行う取引等におけるITの利用状況、及び組織が選択的に依存している一連の情報システムの状況等をいう。IT環境に対しては、組織目標を達成するために、組織の管理が及ぶ範囲において予め適切な方針と手続を定め、それを踏まえた適切な対応を行う必要がある。 IT環境への対応は、単に統制活動のみに関連づけられるものではなく、個々の業務プロセスの段階において、内部統制の他の基本的要素と一体となって評価される。 |
① 全般統制 ITを利用した全般統制とは、ITを利用した業務処理統制が有効に機能する環境を保証する間接的な統制をいう。全般統制は、通常、ハードウェアやネットワークの運用管理、ソフトウェアの開発、変更、運用並びに保守、アクセス・セキュリティ及びアプリケーション・システムの取得、開発並びに保守に対する統制を含むものである。 |
② ITの利用及び統制 ITの利用及び統制とは、組織内において、内部統制のほかの基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること、及び組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本要素をより有効に機能させることをいう。 ITの利用及び統制は、内部統制の他の基本要素と密接不可分の関係を有しており、これらと一体となって評価される。また、ITの利用及び統制は、導入されているITの利便性とともにその脆弱性及び業務に与える影響の重性等を十分に勘案した上で、評価されることになる。 |
② 業務処理統制 ITを利用した業務処理統制とは、個々のアプリケーション・システムにおいて、承認された取引がすべて正確に処理され、記録されることを確保する、コンピュータ・プログラムに組み込まれた統制をいう。 |
(削除) |
③ 全般統制と業務処理統制との関係 全般統制は、業務処理統制の機能を継続的に支援する。また、全般統制と業務処理統制は、完全かつ正確な情報の処理を確保するために一体となって機能する。 |
(注) 財務報告の信頼性に関しては、ITを度外視しては考えることのできない今日の企業環境を前提に、財務報告プロセス自体に重要な影響を及ぼすIT環境への対応及び財務報告プロセス自体に組み込まれたITの利用及び統制を適切に考慮し、財務報告の信頼性を担保するために必要な内部統制の基本的要素を整備することが必要になる。例えば、統制活動について見ると、企業内全体にわたる情報処理システムが財務報告に係るデータを適切に収集し処理するプロセスとなっていることを確保すること、あるいは、各業務領域において利用されるコンピュータ等のデータが適切に収集、処理され、財務報告に反映されるプロセスとなっていることを確保すること等が挙げられる。 |
(注) 財務報告の信頼性に関しては、IT環境を度外視しては考えることのできない今日の企業環境を前提に、財務報告プロセス自体に組み込まれたIT及び財務報告プロセスに重要な影響を及ぼすITの状況を適切に考慮し、財務報告の信頼性を担保するために必要な内部統制を整備することが必要になる。例えば、全般統制として、企業内全体にわたる情報処理システムが財務報告に係るデータを適切に収集し処理するプロセスとなっていることを確保すること、また、業務処理統制として、各業務領域において利用されるコンピュータ等のデータが適切に収集、処理され、財務報告に反映されるプロセスとなっていることを確保することが挙げられる。 |
大幅に変更された・・・のは形式的な話で、実務的には変更がないと思ってよいようです。
この部分だけではないのですが、内部統制の基本的要素って説明されてもCriteriaなっていないのでは?と思いますよね。
評価尺度になっていないような気がしますね。どうであればよいの?というのがないので、評価しようがない。
会計基準と比較すると、貸借対照表は、資産の部、負債の部、資本の部からなっています。資産の部は、XXXXXです。っていわれてもね。費用は発生主義により認識する。とか・・・そういう記述にしてもらわないとね。
それから、経営者評価の部分で、
=====
外部に委託した業務の内部統制については評価範囲に含める。
=====
が追加されました。
会計システムをアウトソーシングしている場合は、アウトソーシング先(例えば、データセンターやASPなど)の内部統制も経営者は評価しなければならないことになりますね。って、当然ですが・・・。
■ITPro
・2005.11.10 「ITは内部統制に不可欠な要素」、金融庁が日本版SOX法の修正案作成
このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。
Comments
速報ありがとうございます。期待していただけに、少なくとも私にとっては、ITに関して”後退”のイメージを拭いきれません。「全般統制」「業務統制」の内容が、”具体的過ぎ、企業の裁量を損ねる”とのことなのでしょうが、これではITに関して”玉虫色”にすることを認めるともとれるのではないでしょうか。新旧両案を見て、丸山さんのように”実務的には変更がない”と考えられるその道のエキスパートであれば問題ないのでしょうが、IT業界の一般レベルからすれば、新案は”なんでもアリ”というように捉える人も多くでてくるのではと思います。新案しか見なければなおさらです。
あとは実施基準がどれだけ具体性のあるものになるかが最大の注目点ですが、日本の地位を世界的に保つためにも、実施基準策定作業を急ぐ必要があると思います。
Posted by: 下道 | 2005.11.11 15:51
下道さん、コメントありがとうございます。「全般統制」「業務処理統制」が基準からなくなっていますが、これは実施基準に記載されることになるものと思われます。他の部分と比較すると、このレベルで記載する内容としては具体的するからでしょう。
評価基準の問題点は、評価の分野を定めているだけで具体的な評価の規準となっていないことです。なので、実質的には実施基準以下の実務的な指針が評価の規準となってくるものと思います。
Posted by: 丸山満彦 | 2005.11.15 00:46