« 内部統制ではない業務処理 | Main | JIPDEC IT統計メタ情報検索サービス »

2006.07.25

日本版SOXとIT統制のポイント

 こんにちは、丸山満彦です。日本セキュリティ監査協会(JASA)という団体からSecurity Eyeという情報誌が出されています。そのSecurity Eye Vol.4に「日本版SOXとIT統制のポイント」と題した金融庁の内部統制部会の臨時委員である堀江先生のインタビュー記事が載っています。COSO日本版とも忌める内部統制部会案による内部統制の基本的要素に「ITへの対応」が外だしされた理由がわかりますね・・・

 
=====
----日本版SOX法において、COSOフレームワークになかったIT統制が独立項目として含まれています。その背景について教えてください。

堀江 (前略)
COSO報告書が出てから15年近くが経過し、ITへの注意を喚起する、特に目立たせるという意図で「ITへの対応」としたのが正しい理解です。また、ほかの構成要素に密接に関連するITの活用は、内部統制のベースになるものです。ITで特別なことをするというわけではなく、他の要素といったいとなる、つまりプラス1ではないということを理解してほしいと思います。
=====

また私の考えていたイメージと同じ意図の図が、Security Eyeにも載っていますね。

【参考】このブログ
・2006.03.31 「資産の保全」と他の目的との関係、「ITへの対応」と他の基本的要素との関係

さて、「ITへの対応」がこのような関係になるとなると、基本的要素という言葉を使わないほうがよいですね。
「内部統制は5つの構成要素からなる」とするほうがわかりやすいです。そうすると財務報告に係る内部統制の評価をする際に、5つの構成要素それぞれについての有効性を評価すればよいことになります。そのひとつに重要な欠陥があれば他の構成要素が有効であっても内部統制は有効ではないという枠組みを維持できますね。「ITへの対応」は5つの構成要素の有効性評価をする際の留意点という位置づけになりますね。。。

 上記の堀江先生の理解が正しければ、実施基準でも「ITへの対応」とそれ以外の基本的要素とは別の扱いになりますね。つまり、「統制環境」、「リスクの評価と対応」、「統制活動」、「情報と伝達」、「モニタリング」をそれぞれの有効性を評価するが、それぞれ構成要素を評価する際に、「ITへの対応」という観点からそれぞれも評価してみるということになるのでしょうね・・・。(この理解が正しければ、実施基準でもそう書かれるはずですが・・・)

まとめると・・・次のように整理したほうがすっきりしますね・・・。また、海外の人にも説明しやすい・・・

・基本的要素という用語は使わない。
・内部統制の構成要素はCOSOと同じく5つとする
・ITへの対応は5つの構成要素を評価する時の留意点

=====
 そのほか、興味深かった内容は、「ITへの対応における3つのポイント」として、ウェブ、アウトソーシング、ITガバナンスをあげていることですね。

1)ウェブはCOSOの時代ではなかったので確かになかったですね。XBRLの話で説明しています。

2)アウトソーシングは、XSPというサービスプロバイダーが行っている業務も今回の財務報告に係る内部統制の評価の対象となりうるということで重要ですね。
【参考】このブログ
・2006.07.16 上場企業から業務を受託している企業は財務報告に係る内部統制の経営者評価と監査の制度対応はできているか?

3)ITガバナンス
アプリケーションレベルだけではなく、全社レベルのIT統制が重要であると・・・。そのとおりです。

【参考】Security Eye(無料)の購読
なお、JASAのアフェリエイトになっているわけではございません(まじで・・・)


|

« 内部統制ではない業務処理 | Main | JIPDEC IT統計メタ情報検索サービス »

Comments

上の3.31での議論でもしていたことの結論がだんだん見えてきましたね。

ようは、「ITへの対応」を「基本要素」と宣伝したことは、注目のための「神話」だったのですね。

でも、あとは、個人的には「資産の保全」をどう位置づけるかという宿題が残っています。これを、"Beyond J-Sox"というキーワードで斬れないか、夏休み以降の宿題でしょうかね。(もう夏休み気分・・・)

Posted by: ミスターIT | 2006.07.26 15:58

丸山さま、ネットでは初めまして。mちんパパと申します。本日は、DS懇親会にご参加いただきありがとうございました。

丸山リーダーより翻訳レビューの方針をお聞きし、よりいっそう活動への意欲が沸いてきました。ぜひ、他ドメインのレビューメンバーにも方針の浸透をお願いします!

プロの翻訳家は、己のプロ魂にかけて原文に忠実な訳を施す。そして原文の専門家は、己のプライドにかけてユーザーの立場に立った分かりやすい表現を真意のぶれない範囲で施す。。。そういうことだと思うんです。

一般企業社員の身ゆえ、匿名(HN)でコメントすることをご容赦ください。次回は、ぜひサインくださいね!(^o^)/^

P.S. ご多忙とは思いますが、CJ会にも顔を出して頂けるとメンバー大いに盛り上がると思います。ぜひ、ご検討の程を!!

Posted by: mちんパパ | 2006.07.27 01:16

ミスターITさん、コメントありがとうございます。
 いいなぁ・・・夏休み・・・

Posted by: 丸山満彦 | 2006.07.27 08:29

mちゃんパパさん、コメントありがとうございます。
 COBIT 4の翻訳レビューよろしくお願いしますね。
 日本での浸透を図るべく、日本人に読みやすい表現にする。
 という方針でよろしくお願いします。
 私たちもどこまでぶれずにできるか・・・がんばりましょう!!!

Posted by: 丸山満彦 | 2006.07.27 08:32

はじめまして、大変な内容を持ったブログ、少しですが、読ませていただきました。
あまりの情報充実ぶりに驚いています。これからも、読みにこようと思います。
小規模の上場企業、その準備中の企業には「どうしよう?」の感のある日本版sox法対応です。

Posted by: みちあき | 2006.07.31 05:45

> 内部統制の基本的要素に「ITへの対応」が外だしされた

ふむふむ。
このまま、まともな方向に軌道修正が進むといいですな。

Posted by: 佐藤慶浩 | 2006.07.31 12:25

みちあきさん、佐藤さん、コメントありがとうございます。

みちあきさん、米国では小規模会社はとりあえず後回し・・・となっているわけですが、日本では一斉に・・・と考えているようです。

2つのセグメントがあってもよいと思うんですけどね・・・

佐藤さん、
海外に説明するとき大変なんですよ・・・。「ITへの対応」は内部統制の構成要素にはならないだろう・・・と言われると、説明しようがない。彼等の頭の中はCOSOですから、COSOとは違う概念を使われると、日本がそれを説明しないといけない。論理的でないと納得してもらえない。
 監査人は監査責任を負うわけですから真剣なわけなんです。「ちょっと工夫した。どうだ、いいだろう。世界最先端だ・・・」といわれても、「なるほど・・・。それは、すばらしいですな・・・」というわけにはいかないんですよね・・・。

Posted by: 丸山満彦 | 2006.08.01 07:17

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 日本版SOXとIT統制のポイント:

« 内部統制ではない業務処理 | Main | JIPDEC IT統計メタ情報検索サービス »