内部統制は標準化？

　こんにちは、丸山満彦です。財務報告に係る内部統制の経営者評価及び外部監査人による監査が義務付けられた場合に備えて、金融庁企業会計審議会内部統制部会で議論が続いていますね。内部統制の概念もほぼ米国の「内部統制－統合的なフレームワーク（Internal Control - Integrated Framework）」トレッドウェイ委員組織委員会（Committee of Sponsoring Organization of the Treadway Commission: COSO）とほぼ同じものですね。
　さてさて、普段は非常に温和な丸山さんですが、日経BP社のウェブページの「日本版SOX法がもたらす「内部統制」のIT化」」はさすがにちょっといかがなものかと思います。。。。

　
■2005.12.01 日本版SOX法がもたらす「内部統制」のIT化

　まず、記事を書いている人の人格を非難するものではないです。私は面識もないですから・・・。

１）ITは（企業の）内部統制の目的を達成するために不可欠な要素として内部統制の有効性に係る判断の規準となるが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等である。業務内容がITに大きく依存している場合は、内部統制自体もITに大きく依存する可能性が高くそういえるだけの話で必ずしも全ての場合ではない（もっとも、多くの場合はそうなんですけどね・・・）

２）金融庁企業会計審議会内部統制部会が公表した「財務報告に係る内部統制の評価及び監査の基準」は日本版SOX法ではない。そもそも法律ではないし・・・、米国のSOX法はもっといろいろなことを規制しているし・・・

３）内部統制とは、端的に言えば「標準化」や「手順化」ではない。内部統制の目的の１つに「業務の有効性及び効率性」がありますが、そのための手段の１つとして業務の標準化や手順化が必要となることはあると思いますが、内部統制とは標準化といわれるとそれはちょっと違うのでは・・・と思います。
　ただし、業務は標準化したほうがよいですよ。確かに・・・。財務報告に係る内部統制の評価をする際に業務の標準化ができていないとえらい大変なことになりますから・・・。しかし、「財務報告の信頼性」を確保するための内部統制のない「標準化」や「手順化」をしても、「透明性の確保」をおこなっても何の意味もありません。

４）財務報告に係る内部統制の構築に際しては、ITコンサルタントなど、ITの専門家より財務や会計の専門家に依頼する方がよいでしょう。
　もっというと財務報告に係る内部統制の専門家であればよいと思います。財務や会計の専門家と言うより内部監査などをしていた人のほうがよいと思います。もちろん、ITに明るい人もいりますが、あくまで中心は内部統制ですからITがわかっているだけの人でもだめですよね。ITを利用した業務処理統制とか、コンピュータ全般内部統制に詳しい人はいいです。ITを利用した業務処理統制は、例えば、仕入先マスタに登録されている仕入先以外の仕入先を購買担当者の端末からは入力できないようにプログラム上制御しているというような項目があるのですが、それは、本来必要となる統制活動を人がチェックするかコンピュータを利用してチェックするかという手段だけの違いですから明らかにITの問題ではないですね。それから、コンピュータ全般内部統制というのは、ITを利用した業務処理統制が有効に機能する環境を保証する統制です。このあたりの評価になってくるとITコンサルタントの活躍の場がありそうです。しかし、内部統制の理解は不可欠ですね。COBITとかもよく理解しておく必要がありそうです。

でも、良いことも言っています。

＝＝＝＝＝
正確な財務諸表作成のためには販売管理等の各部門から正しいデータが集まらなければなりません。

長期的に見れば、社内の業務改善を行うことで得られるメリットも数多くあるはず

SOX法は情報システム部門や経営者だけの問題ではなく、会社にいる全員が何らかの形でかかわってくるため、社内向けの研修や教育にも力を入れるべきです。紙切れ一枚で「新しいシステムになりました」と通達するのではなく、なぜこうした取り組みがなされたのか、やってはいけないことは何か、やるべきことは何か、といった部分を明確に伝える必要があります。
＝＝＝＝＝

　もう少し丁寧にいうと、なぜそれをしなければならないのかということを理解させ（啓発）、するべきことを理解させる（教育）必要があります。監査法人系のコンサルでは、コンテンツ作りに意識がいきすぎて、啓発・教育などの重要性が強調されていないかもしれませんね。

　木曜日に高橋弁護士、HPの佐藤さん、国立情報学研究所の岡田先生と軽く夕食をとりながら、同じような話をしました。

---

このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

　木曜日の夜に高橋弁護士や日本HPの佐藤さんと軽く食事をしていたのですが、そこでもこんな↑話になっていました。

Comments

丸山さん、PCAOBより新しいガイダンスが出たようです。

Posted by: koneko04 | 2005.12.02 12:14

アタシも会社でこの記事を読みましたが、インタビューで答えている人の職種のせいか、IT関連の製品の売り込みの提灯記事のような印象を受けました。

でも、丸山さんが取り上げられた所だけは良いことを言っているなと共感を覚えたので、アタシのネット記事のデータベースにそこだけ抜粋して保存しました。

日本語で内部統制の強化の必要性について話す際にパクろうという意図から保存したのよ。

Posted by: koneko04 | 2005.12.02 18:12

koneko04さん、コメントありがとうございます。
＝＝＝＝＝
PCAOBより新しいガイダンスが出たようです。
＝＝＝＝＝
http://www.pcaobus.org/News_and_Events/News/2005/11-30.aspx
ですね。ありがとうございます。

内部統制は経営全般に関係するので、自分の仕事の領域が内部統制と関係する！というのはうそではないのですが、それが中心だ！というとうその場合がおおいですよね。
特に財務報告に係る内部統制やSOX法対応をしようとするとき、よくわかっていない人がコンサルすると危ないですよね。

2005.09.08 Sarbanes-Oxley Act 関係
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2005/09/sarbanesoxley_a_e687.html

なんてところは最低限読んでおいてほしいですよね♪

Posted by: 丸山満彦 | 2005.12.03 00:09

丸山さんの言われる通りです。私のようなITからのアプローチ人間は注意するべきところをずばり指摘されてますね。どんどんやってください。！！

しかし、指摘された

２）金融庁企業会計審議会内部統制部会が公表した「財務報告に係る内部統制の評価及び監査の基準」は日本版SOX法ではない。そもそも法律ではないし・・・、米国のSOX法はもっといろいろなことを規制しているし

はまさに、「そうそう！！」ですね。いつの間にか「J-SOX」という名の法律ができると思って「藁にもすがろう」としている人に、製品（サービス））売り込みしている企業もありますね。「これでSOX対応は完璧です！」とか言って。それに比べて、外資系等で既に取り組んでいる現場のSOX担当者の苦労する部分は、大きな乖離があります。

私もそう言われないように注意しないと。。（苦笑）。。私、できないこと、違うことは、「出来ない・違う」と言いますから。

Posted by: 下道 | 2005.12.03 20:06

はい。

まあ、IT業界お得意のお祭りというか、VaporWareならぬ、VaporLawであります。

もっとも、ミスターITならまだしも、高橋弁護士だと金融庁の案が、日経新聞のいうように証券取引法に制定されたとして(どうするのかそもそも？ですが)、その場合、改正会社法、改正証券取引法での各企業の内部統制構築義務は、法律が制定されるまえのとどこが違うのかという点についてきちんと分析をしないといけないでしょうね。

日本では、PCAOBもないし、アナリストと証券会社の利益相反も考えることはないわけですしね。

Posted by: 高橋弁護士 | 2005.12.03 23:43