システムの内部統制 準備はできていますか?
内部統制への対応は、法律の問題だけではありません!
内部統制は元来社内制度でしたが、昨今の企業環境化や社会的責任の中で、外部監査の対象になってきました。好むと好まざるに関わらず、実施しなければならなくなりました。
やらなければ成らない以上は、これを機会に社内の整備をする覚悟をした方が懸命です。しかしやり方が分からないと言われる企業が多いです。
私共は、ドキュメントの標準化からIT環境の整備(システムログを取るTOOLなど)までを、公認会計士と一緒に支援をします。
ご相談でも構いません。ご連絡下さい。
内部統制テンプレート HOT NEWS
マイクロソフトが、以前よりアナウンスされていた内部統制のテンプレートサンプルを準備しました。これは主にVISIOを利用するものですが、以下のような稼働条件が必要です。
● 必要システム
・Microsoft Windows 2000または、Microsoft Windows XP
・Microsoft .NET Framework 1.1 SP1 以上、Microsoft Office Excel
● 対応 Visio バージョン
・Microsoft Office Visio 2003 Standard/Professional
※Visio2003の「.NETプログラミングサポート」機能がインストールされている必要があります。
このような条件を満たせば可能ですが、これ以外にACCESSも必要です。Office Professionalをお持ちでMySQLをインストールしていないと稼働しません。ダウンロード出来る物には、テンプレートの「インストールに必要なファイル一式」と「操作手順書」がありますが、まず後者の「操作手順書」をダウンロードしてから、利用できるかどうか判断してください。同一メーカーのOffice製品ですので、連携はある程度取れていますが、自動化とは行きませんので、専用システムに比べてしまうと使い勝手が気になります。
しかしポイントは、このようなテンプレートを供給してもらったお陰で、(1)どのように作っていったら良いのか、(2)どう管理すれば良いのか、ヒントが貰えた筈です。そう言う意味では大変有り難いと思います。
私は、この環境を無理なく利用するとすれば、EXCELで必要なドキュメント一覧管理をして、それに連携する業務フローをVISIOで作成して、ハイパーリンクでフォルダー管理をしておくだけでも、相当な集中管理が可能になります。作業が一通り終わったところで、ファイル毎、監査機能が付いたDATABASEに格納して、セキュリティー管理、ログ管理が出来るインフラを作ります。DBは使いなれたもので構いませんが、SQL Server もしくは Oracle 10gあたりが良いかと思います。これを情報システム部で管理して、業務の変更毎に書き換えが可能な環境を提供する事になります。
そこにお勧めなのが、ポータルサイトです。各担当者毎の権限管理ができるソフトで開発するのが良いと思います。この環境は、業務の書き換えだけでなく、社内のコミュニケーションTOOLとしても利用できますから、この機会に導入されることを推奨します。
◆ マイクロソフト・内部統制テンプレートダウンロード
会社法の施行期日を定める政令(平成18年3月29日 法務省) HOT NEWS
ついに確定されました。あと一ヶ月後です。会社法(平成17年法律第86号)の施行期日が平成18年5月1日に定められました。詳細は法務省ホームページをご覧下さい。
この法律は、商法から独立した本格的なものですが、もともとは商法の会社編、有限会社法、商法特例法を再編・統合したものです。以下のような変更点に注力されています。
1.新規に合同会社の新設
2.廃止に有限会社制度 → 株式会社に一本化
3.強化に敵対的買収への防御整備
しかし、ここで見落として行けないのは、368条の企業統治です。「株式会社の内部統制システムの構築」に関する規定の新設は、委員会設置会社のみに規定されていたものを、取締役会設置会社全般に拡大して、企業統治を徹底させようとしたものです。
これはもう予想が付かれるでしょうが、法律はちがいますがJSOX法と方向性が同じです。企業不祥事に対応する為のものです。その意味で今回の会社法施行は、JSOX法の前哨戦的立場であることを理解しなければなりません。
益々、取締役の責任は大きき成ります。
内部統制は1年先送り、「日本版SOX法」閣議決定、義務化は2008年4月から!!緊急
 |
金融庁の問題か、企業審議会の問題なのか分かりませんが、殆どの皆さんはSOX法対応が1年延期されたことをご存じありません。周知が足りないのです。
お役所仕事と言わざるを得ません。こんな事はいつもの事でしょうが、この問題は告知が不明瞭なだけでなく、困惑時期を延期しているに過ぎません。未だに2005年12月18日の指針以外に何も出ていません。
ダウンロードから内容を見てください
従って皆様も、1年延びたと手放しで喜んではいけません。彼らは猶予を与えてやったという感覚です。と言うことは、2008年3月期の時は、監査も企業サイドも手加減があると思われた(希望的観測として)訳ですが、これが全く期待できない事になりました。
反って厳しくなると考えた方が自然ですね。特に企業審議会の八田氏はIT統制の重要性を謳っておられます。経営企画と財務部だけで運営している内部統制室があるならば、即刻情報システム部の参画を決定すべきです。
|
「新法は、今国会で原案通りに可決されれば2006年に施行される。このタイミングから、内部統制の制度化は「早ければ2007年4月以降に始まる事業年度から」といわれてきた。しかし、経済団体連合会が導入時期の先送りを要望していたほか、「日本版SOX法」の基準案を策定した部会の八田進二部会長(青山学院大学大学院会計プロフェッション研究科教授)も、「導入は早くて2009年」との見方を示していた。」
内部統制プロジェクト開始は、もうギリギリです・・・ (マネジメント総研は以下の手順で実施します)HOT NEWS
殆どの適用会社では、プロジェクトが発足されました。もう3月開始でギリギリです。以下に手順のフェーズ単位で図示しました。この通りできればベストですが、問題は貴社の体制です。監査法人やコンサルタントだけではやりきれません。またこの業務は、システム開発と違ってユーザー自身が運用するものなのです。一刻も早く着手されることを願っております。
企業の日本版SOX法への取り組みは「受け身的な対応が中心」――NRI調査・・・ HOT NEWS
SOX法への対応を進める上で難しいと考えられる事項は「統制の文書化」が最も多く61.3%。ついで「リスクの洗い出し」が33.4%、「対象範囲の決定」が31.8%。さらに「情報システムの改変」が31.3%で続いた。
NRIでは一連のアンケート結果を踏まえ、「日本版SOX法に対する認識は高いものの、受け身的な対応が中心となっている」と指摘。今後の対応を進める上では、中長期を見据えたERM(エンタープライズ・リスク・マネジメント)の仕組みを本格的に構築するという全社的な取り組みへのシフトが必要であり、そのためには「リスクの洗い出し」や「リスクの重要性の特定」といった事前の検討が極めて重要になると予測している。
ウォールストリートジャーナル2月8日の社説で・・・ HOT NEWS
企業改革法すなわちSOX法を非難しました。理由は厳しすぎる会計ルールに海外の企業が米国進出を敬遠しているためです。
また中小企業は、企業改革法が求める多大な会計コストを負担できないと言われています。
本家のアメリカでは、改革法は憲法違反であるとの裁判が起きているようです。
とは言うものの、日本では米国のものとは違うといっています。私のクライアント様でも、問題は内部統制にかかるコストであると言われています。本当に私もそう思います。冒頭文書でも書いてあるように、企業のパフォーマンスが下がってはいけないのです。ITに関しても同様です。ここで私はTOOLを使うことで、コストを低減していくことを考えています。
SOX対応TOOLが登場しています HOT NEWS
日経コンピュータでは最新号のSOAを特集の中でもSOX法対応TOOLを掲載しています。これらのツールは、
情報システムへのアクセスログ等の分析をして。規約違反の処理に警告を発する仕組みになっいます。SOX法対策が先行した米国でのノウハウが盛り込まれている可能性はあります(期待として)。実情に合わせて使えば、効率的な対応ができると考えています。
それぞれのソフト資料が、
入手でき次第ダウンロードに掲載していきます。(下表は日経コンピュータ2006.2.6からの転載です)
日経コンピュータでは最新号でもSOAを特集しています。
情報システム部の人から言う話ではありませんが、どうも最近各社の各セクション・リーダーの方達にお話しを伺うと、上層部が意外とのんびりしておられるようです。
あと1年で,何とかしなえればならない[内部統制の仕組み]は、監査役の役割から、経理、購買、売上などの業務はもちろん、それをコントロールする情報システム、およそ企業業務の全てに波及していくものです。安易に考えられていると、とんでもないことになります。 すでに大手の中には、外資系コンサルティングを使って内部統制の仕組みを構築した所もあります。
日経コンピュータで「SOX法の特集」が3月号に特集されます
日経コンピュータで特集が組まれる段階に入ってきました。しかし、特集が組まれる時点では骨子が固まっている場合が想定されます。
企業としてはそれ以上に早く行動を起こしておく必要があります。何故なら何度も書いていますが、時間がないからです。
2008年4月施行されると言うことは、前期2007年度つまりは来年度から新内部統制制度を業務に適応していなければ成りません。しかもシステムのプロセスまで検証範囲に入っています。
決まってから考えればいいと言う意見もありますが、外部のサポート者さえ、確保できなくなると言われています。
この時期に、システムはSOAやITLIの手法を利用して、業務を整理すべきと考えます。ERP大手のシステムを導入されている場合は、各社から内部統制用のモジュールや対策が打たれます。それに応じた対応が一番合理的と考えられます。下手にドキュメントの整備を始めると、反って時間とコストが掛かる可能性があります。
ではERPを導入していないところは、どうするか?一般論では、話せませんが、貴社がもしERPの機能をそのまま受け入れて業務をあわせる英断を断行されるなら、ERPの導入(本物の)をお勧めするかも知れません。しかし貴社でのご事情(予算とか人材とか、体制とか・・・)がありますので、一概にベストな選択であるとは言えないのです。ご相談に乗れると思いますので、どうしたいかをご連絡下さい。
OLACLEもSOX法対策
日本オラクルと日本ネットワーク・アプライアンス(NetApp)は1月19日、企業の内部統制強化の流れをにらみ、ドキュメント管理の分野で協業すると発表した。オラクルの「Oracle Collaboration Suite 10g」とNetAppの「NetApp SnapLock」を組み合わせて、ドキュメントの改ざんを防止する「WORM」(Write Once/Read Many)ソリューションを提供する。
Oracle Records Managementは財務書類など長期保存が必要なドキュメントの改ざんや削除を防止し、一定期間後に廃棄するWORM機能がある。Oracle Collaboration Suite 10gのドキュメント管理機能とシームレスに利用できるのが特徴で、文書作成から長期保存の処理、廃棄というライフサイクルを通じて管理できるという。
なぜ、SOX法が誕生したのでしょう?
内部統制の強化に関しては、以前から言われていたことですが、2001年のエンロン問題に端を発し相次ぐ不正のなか、即座に発布された物です。従っていつでも手を打てる状況に合ったと言っても過言ではありません。日本でも、最近の証券会社の誤発注や銀行員の横領など、数年前から今日に至るまで無くなる気配はありません。そこで、日本でも米国にならい(いつものパターンですが)sox法を模倣しようとしているわけです。
正式には「Public Company Accounting Reform and Investor Protection Act of 2002:上場企業会計改革および投資家保護法」といいます。法案を連名で提出 したポールサーベンス(Paul Sarbanes)上院議員、マイケル・G・オクスリー (Michael G.Oxley)下院議員の名にちなんで、「サーベンス・オクスリー呼ばれています。日本では「企業改革法」と意訳されることが多いです。
それはともかく、SOX法が出来た背景を鑑みて、企業は粛正するべき所はこの機会にきれいにするべきだと考えます。但し、法制化されたと言え、遵守をまともに受け入れたら、機動力がそがれる心配もあることは忘れないようにしてください。この法令は、誰のためでもない、自分たちの会社が旨く運営されるための仕組みであることを、認識するところから始めなければなりません。
具体策は、COSOフレームワークにあります!
1992年に米国のトレッドウェイ委員会組織委員会(COSO:the Committee of Sponsoring Organization of the Treadway Commission)が公表した内部統制のフレームワークです。今日、事実上の世界標準として知られています。従って具体的な内容もこのCOSOフレームワークがベースになっています。なぜこのようなフレームワークが必要だったかと言えば、内部統制という言葉に明確な統一した考え方がなかったからです。そこで、経営者やそのほかの企業関係者の認識をそろえ、共通の定義を設定する目的でCOSOレポートが作成され公表されたわけです。
「COSOレポート」では、経営管理活動のプロセスとして以下にに示す10項目を挙げて、それと内部統制の関係を示しています。
■ 経営者の活動 ■ 内部統制
1. 事業レベルの目的の設定・社是・社訓
2. 戦略的経営
3. 統制環境要因の設定 ●
4. 活動レベルの目的の設定
5. リスク識別と分析 ●
6. リスク管理
7. 統制活動の実施 ●
8. 情報の識別・補足と伝達 ●
9. 監視活動 ●
10. 是正措置
情報システム部は、いま何をするべきでしょうか!
内部統制の概要は、イメージされたかと思います。しかしながら、実際の作業になるとこれまで経験のないドキュメントまで要求される可能性が出てくるわけです。米国の例では、SOX法の内部統制に関わるドキュメントの整備だけで,平均2から3億円の費用がかかっています。日本でも巨大企業では、内部統制整備に数億から数十億かけることが、計画されています。その上、日本版SOX法は情報システムにまで、内部統制の仕組みを取り込んでいますから、現状のシステムを何らかの形で、法令に準拠したものにしなければ成りません。
方法はいくつかありますが、やはりドキュメントの整備です。システムを構築する上で何らかの方法論にのっとって開発されていれば、ドキュメント標準がなされ、テスト結果も保存されていると思います。またメインテナンスの記録ドキュメントとテスト結果の整備は当然です。ところが現実には、ここまできちんとされているシステムは、あまりお目に掛かった事がありません。
ドキュメントの整備を現行システムにするぐらいなら、もともと業務フローが整備され組み込まれているERPを使った方が早い。と言う意見もあります。しかしERPと言えども、法制度を前提に監査証跡を追える仕組みを入れているわけではありませんし、世の中には名ばかりのERPもありますから注意が必要です。
ドキュメントを整備するにも、ERPを利用するにも、相当なコストが掛かる事だけは事実です。これをどこまでコストを抑えつつ、法令違反にならない程度にするかが課題になります。ポイントはIOです。
"