実施基準案 (11月6日内部統制部会)
こんにちは、丸山満彦です。昨日開催された内部統制部会で実施基準案のうち、「基本的枠組み」と「経営者評価と報告」の部分が議論されたようですね。。。いろいろなメディアで報道されていますね・・・
■日経BP 内部統制.jp
・2006.11.06 日本版SOX法「実施基準案」がついに登場、IT統制に関して例示
=====
・・・・・
(1)の「基本的枠組み」では、ITを利用して内部統制を整備した場合は、「リスクを低く見積もることができるため、独立的評価の頻度を低くしたり、投入する人員を少なくすることも可能になる」と説明。一方で、「新しいシステムの構築や、既存のシステムの更新を強いるものではない」と強調している。
・・・・・
=====
実施基準案では、全般統制と業務処理統制という言葉も復活しているようですね。
全般統制の例として、
(a) ITの開発、保守にかかる管理、
(b) システムの運用・管理、
(c) 内外からのアクセス管理などのシステム安全性の確保、
(d) 外部委託に関する契約の管理、
などの項目を挙げているようです。
業務処理統制の具体例として、
(a) 入力情報の完全性、正確性、正当性などを確保する統制、
(b) 例外処理(エラー)の修正と再処理、
(c) マスター・データの修正と再処理、
(d) システムの利用に関する認証、操作範囲の限定などのアクセス管理、
の四つを挙げているようです。
そのほか、
=====
・・・・・
ITを利用して内部統制を整備した場合の評価について、「ITを利用して自動化された内部統制に関しては、一度、内部統制が設定されると、変更やエラーが発生しない限り一貫して機能する性質がある」として、「前年度に実施した内部統制の評価結果を継続して利用することができる」としている。ただしこれには、「障害・エラー等の不具合が発生していないこと」などの条件が付く。
経営者の評価において「内部統制に不備がある場合」の具体例として、IT関連では「ITのアクセス制限にかかる内部統制に不備があり、それが改善されずに放置さている」を挙げている。
・・・・・
=====
また、記録の保管期間が気になる人については、
=====
内部統制について作成した記録の保存について、実施基準案では「諸法令との関係を考慮して、企業において適切に判断することとなる」としている。その上で、「金融商品取引法上は、有価証券報告書およびその添付書類の縦覧期間(5年)を勘案して、それと同程度の期間、適切な範囲および方法(磁気媒体、紙またはフイルム等)により保存することが考えられる」と明記。電子メールやアクセス・ログなどは、「広い解釈をすれば、この対象になる可能性が高い」(堀江教授)という。
=====
というのも参考になるかもですね・・・
・2006.11.06 「売上高3分の2以上を目安に業務を選定」、内部統制の基準案公表
=====
・・・・・
「全社的な内部統制が機能している場合は、売上高の3分の2以上を占めることを目安に、対象にする事業部門や事業拠点、対象業務を決める」「内部統制の不備で、税引き前利益が5%以上変動する恐れがあり、期末までに是正できない場合は、その理由とともに公表する」など、目安となる数値目標にも踏み込んでいる。
・・・・・
ただし「売上高」や「3分の2以上」という基準は、会社の業態などにより財務報告への影響度は異なることから、あくまで目安。企業特性に応じて基準を変えたり、追加の基準を設けたりする場合があるという。
・・・・・
事実上、利益を5%以上変動させるリスクについては、企業に内部統制上の対策を早期に取ることを求める内容になっている。
=====
売上高だけで決めろと書いていないとは思いますが、例えば売上高の3分の2以上をしめない(かつ、質的にも重要性がない)として経営者評価の範囲外とした部分で、監査人が財務諸表監査の過程で税引き前利益の5%以上の変動が生じる不正が内部統制の不備の結果として発見した場合、監査人はどのように評価するのでしょうか?
と思ってみたりしました。
■日経新聞
・2006.11.07 報告書作成、事業所を限定・内部統制ルール
Comments
「内部統制について作成した記録」の概念ですけど、事前に監査命題を証明するにたりる記録を保全(preservation)するという観点なのでしょうか。それとも、命題を証明した記録を保存(retention)するという意味なのでしょうか。
どうも、このコメントは、あえてそこを不明瞭にしてしまってストレージ屋さんにビジネスチャンスを与えようとしているように思えたりして。
もうすこしすれば、全文がみえるので、そこで検討しますけど、まず、ここに引っ掛かりを感じましたね。
Posted by: ミスターIT | 2006.11.07 13:00
ミスターITさん、コメントありがとうございます。
「内部統制について作成した記録」の概念ですが・・・。
本文を読んでみますね。。。
Posted by: 丸山満彦 | 2006.11.08 07:08
監査証拠(基準31号)というと、監査の意見形成に役立ったというものなのでしょうかね。それとも、役立つかもしれないというものまでふくむんですかね。
ちなみにご本家では、audit work papers or other documents related to an auditなので、過去形で、「役立った」という意味です。
Posted by: ミスターIT | 2006.11.08 09:22
ITへの対応でいくつか理解できないことがありますので POSTさせていただきました。
基本的枠組み(案)のIT利用で
イ 統制環境の有効性を確保するためのITの利用
統制環境のうちITに関連する事項としては、例えば、次のものが挙げられる。
(ア) 経営者のITに対する関心、考え方
(イ) ITに関する戦略、計画、予算等の策定及び体制の整備
(ウ) 組織の構成員のITに関する基本的な知識や活用する能力
(エ) ITに係わる教育、研修に関する方針
とありますが、これらの内容と 統制環境の有効性を確保するためのITの"利用"との論理的な繋がりが分かりません。
(ア)から(エ)の内容はITの利用の有効性を確保するための統制環境ということであってIT全般統制あるいは組織レベルの統制に入るべきではないかと思われます。
さらに イ ではメールは便利で不正の共謀にも使われるからログを残せという内容の記述がありますが、共謀する人は会社のメールではなく個人の携帯電話や携帯のメールを使用するでしょう。
いまや個人が所有し使用しているITツールの方が会社で用意しているもののはるか上を行っている状況で組織内のメールを共謀防止の目的でモニタリングするというのはばかげているように思います。 それならば電話の盗聴も必要であることも合わせて記述すべきでしょう。 いまや電話もIP時代、立派なITツールとなっています。
このほかまだ疑問点がありますが、次の機会にPOSTさせていただきます。
Posted by: CWO | 2006.11.10 22:44
CWOさん、コメントありがとうございます。そもそも、ITの利用とITの統制を分けるのではなく、{ITの(利用と統制)}というのが正しいような気がするんですよね。内部統制の基本的要素に「ITへの対応」があって、ITへの対応の中にさらに「ITの統制」というのが変な話ですよね。論理的にはよくわからない構成になっているように思います。
電子メールの話はあくまでも例示なので、手段としてはそういう方法もありますよね。。。くらいで勘弁してあげたらどうでしょうか?個人情報保護法の時もそうでしたが、労基法上の問題はないの?とか、会社の中にあっても個人のプライバシーはあるだろうとかいろいろな論点がありますからね・・・。
つっこみどころは、ちゃんと整理して、意見募集があれば、すぐに金融庁に突っ込むのがよいのではないかと思います。
このブログに疑問をぶつけるのは問題ありませんので、遠慮なくお願いします。
Posted by: 丸山満彦 | 2006.11.13 13:09
私は、ITの利用のところは、無視して、「ITへの統制」と「ITを利用した統制」で、他の5要素とは別物ですと説明します。
ただし、その重要性に鑑みて、6番目の要素として登場させたにすぎず、まったく、論理的ではない場所にいます、というように認識してますと説明しています。
他の5要素を実現するために、ITを利用するでしょうし、一方、IT自体が5要素の基盤だったりしていますからね。
Posted by: ミスターIT | 2006.11.15 09:54
ミスターITさん、こめんとありがとうございます。
> まったく、論理的ではない場所にいます
というのは、私も賛成です。
ITという道具を使ったプロセスをどのように統制するのか、ITという道具を使ってどのように統制するのか・・・ITとは道具ですから、「ITへの対応」を内部統制の要素として取り出すのはおかしな話ですね。。。
Posted by: 丸山満彦 | 2006.11.15 22:22