« 定期検査中に起こった臨界事故を国及び自治体に報告していなかった・・・ | Main | 日本銀行 事例からみたコンピュータ・システム・リスク管理の具体策 »

2007.03.17

監査役協会 パブコメ 内部統制システムに係る監査の実施基準

 こんにちは、丸山満彦です。監査役協会が「内部統制システムに係る監査の実施基準(公開草案)」を公表していますね。。。

 
【監査役協会】
・2007.03.16 内部統制システムに係る監査の実施基準(公開草案)について
・・内部統制システムに係る監査の実施基準(公開草案)

=====
Ⅱ 制定の趣旨と主要な事項
本実施基準は、監査役監査基準第21条第7項に対応したものであり、監査役監査基準と共通の基本的認識と考え方に立脚したものであって、監査役監査基準と一体として理解し活用されるものとして位置付けられている。
本実施基準の主要な事項は、以下のとおりである。
1. 本実施基準は、監査役監査基準に基づき、監査役が会社の内部統制システムに関して 行う監査にあたっての基準と行動の指針を定めるものである(第1条)。
2. 本実施基準における「内部統制システム」は、監査役監査基準第21条第1項各号に定 める体制をいう(第2条第1項)。
3. 本実施基準における監査対象は、「内部統制システムに係る取締役会決議の内容が相当でないと認める事由の有無」及び「取締役が行う内部統制システムの整備の状況における不備の有無」である(第3条)。
4. 内部統制システム監査にあたっては、「会社における統制環境」が監査役として特に重要な監査対象であることを明記するとともに、「会社に想定されるリスクのうち、会社に重大な損害又は損失を及ぼすおそれのあるリスクに対応しているか否か」に重点をおき(リスク・アプローチ)、「内部統制システムの構成要素が、重大なリスクに対応するプロセスとして有効に機能しているか否か」(プロセス・チェック)について監視し検証することを、監査の基本的姿勢としている(第4条)。
5. 上記のほか本実施基準第2章において、取締役会決議に関する監査(第5条)、内部監査部門等との連係とそれを通じたモニタリング機能の実効性の監査、内部統制システムの不備又は重大な欠陥への対応、監査役会における審議(第6条乃至第8条参照)など、監査の方法に関する規定を置いている。
6. 第3章では、会社法が規定する法令等遵守体制、損失危険管理体制、情報保存管理体制、効率性確保体制、企業集団内部統制のそれぞれについて、監査にあたって特に重要な着眼点とすべき重大なリスクを列挙した。また、監査の実務に資する具体的な指針を求める声が強かったこと等から、各体制の監査にあたって留意すべきチェック・ポイント(重要な統制上の要点)についても列挙している(ただし、これはあくまで例示であり、会社の特性等に照らして過不足なく選定すべきことはいうまでもない)。
7. 財務報告内部統制については、その法的性格をめぐる議論の状況や会計監査人との関係などを考慮し、第4章として別章立てとした。
8. 監査役監査の環境整備については、第5章として、補助使用人に関する事項、監査役報告体制、内部監査部門等との連係体制等について、代表取締役等又は取締役会に対し必要な要請を行うべき旨を規定している。
=====

章立ては、、、
=====
第1章 本実施基準の目的
(目的) 第1条
(内部統制システムの定義等) 第2条
第2章 内部統制システム監査の基本方針及び方法
(内部統制システム監査の対象) 第3条
(内部統制システム監査の基本方針) 第4条
(内部統制システムに係る取締役会決議に関する監査) 第5条
(内部統制システムの整備状況に関する監査の手続) 第6条
(内部統制システムの不備への対応) 第7条
(監査役会における審議) 第8条
第3章 法令等遵守体制・損失危険管理体制等の監査
(法令等遵守体制に関する監査) 第9条
(損失危険管理体制に関する監査) 第10条
(情報保存管理体制に関する監査) 第11条
(効率性確保体制に関する監査) 第12条
(企業集団内部統制に関する監査) 第13条
第4章 財務報告内部統制の監査
(財務報告内部統制に関する監査) 第14条
第5章 監査役監査の実効性を確保する体制の監査
(補助使用人に関する事項) 第15条
(監査役報告体制) 第16条
(内部監査部門等との連係体制等) 第17条
=====

 事業継続についても書かれていますね。。。
=====
(損失危険管理体制に関する監査) 第10条
八 会社に重大な損害又は損失を及ぼす事態が現に生じた場合を想定し、損害又は損失を最小限にとどめるために、代表取締役等を構成員とする対策本部の設置、緊急時の連絡網その他の情報伝達体制、顧客・マスコミ・監督当局等への対応、業務の継続に関する方針等を予め定めたコンティンジェンシー・プランが作成されているか。
=====

 情報セキュリティについても書かれていますね。。。
=====
二 重要な営業秘密、ノウハウ、機密情報や、個人情報ほか法令上保存・管理が要請される情報などが漏洩する結果、会社に重大な損害又は損失が生じるリスク
・・・
四 保存・管理すべき文書及び情報の重要性の区分に応じて、適切なアクセス権限・保存期間の設定、セキュリティー・ポリシー、バック・アップなどの管理体制が整備されているか。
五 個人情報ほか法令上一定の管理が求められる情報について、役職員等に対して、当該法令で要求される管理方法の周知徹底が図られているか。
=====

 情報システムの共通化に関する事項も書かれていますね。。。
=====
六 企業集団内で共通化すべき情報処理等が適正にシステム化されているか。
=====

 検証すべき事項の観点を例示していますが、これはわかりやすさの観点からは重要なのですが、なぜそれを検証すべきかという「目的」を明確にしたほうがよいですね。とかく、手段に注目がいきがちです。重要なことは達成すべき目的でその目的のための手段があって、その手段が例示されている。という構造が明確になるほうがよいでしょうね。。。

【参考】
・2007.02.24 監査役協会 「改定監査役監査基準」



【過去の今日】
・2006.03.17 米国政府 情報セキュリティ通知簿2005
・       金融庁 株式等の売買発注管理に係る一斉点検等の結果について
・       日本版SOX法ポータル?
・2005.03.17 公認会計士協会 会計監査で個人情報を監査人に提供するのは委託
・       開示請求の手数料
・       個人情報漏えいに罰則 今国会法案提出from自民党?

|

« 定期検査中に起こった臨界事故を国及び自治体に報告していなかった・・・ | Main | 日本銀行 事例からみたコンピュータ・システム・リスク管理の具体策 »

Comments

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 監査役協会 パブコメ 内部統制システムに係る監査の実施基準:

» 日常的モニタリングと独立的評価 [内部統制とは]
モニタリングは日常的モニタリングと独立的評価とに分類することができます。 日常的モニタリングは、 [Read More]

Tracked on 2007.03.21 22:45

« 定期検査中に起こった臨界事故を国及び自治体に報告していなかった・・・ | Main | 日本銀行 事例からみたコンピュータ・システム・リスク管理の具体策 »