内部監査室や内部統制プロジェクトが未だに稼働していないと聞きます。やっと意見書がでましたがどうしたら良いのでしょうか?。そうしている内に2009年3月期を迎えてしまいます。その時点では内部統制が社内で運用されていなければ成りません。監査法人はSOX支援という名目で指導する事を提案していますが、実質的にプロジェクトは稼働していないようです。
巷にはご紹介しているような本が多く出ています(2冊追加しました)。手が付けられる所があれば、すぐにでも開始してください。マネジメント総研が作成した提案書(左下)にもやることが書いてあります。
USSOXプロジェクトやJSOX対応を実施している私共の実感ですから、間違いはありません。今始めていなければ、ほぼ実施不能と考えて良いと思います。すでに独自での内部統制の準備をするのは困難と考えて下さい。SOXを実際に経験した支援者を入れて対応すれば、目処が立つと考えます。
特にJSOXでは「ITへの対応」が謳われ、システム自体の正確性・安全性・透明性などを証明する事が要求されます。USでは20%近い企業が内部統制不備とされています。
速報 企業会計審議会(意見書)平成19年2月15日
財務報告に係る内部統制の評価及び監査の基準並び
に財務報告に係る内部統制の評価及び監査に関する
実施基準の設定について(意見書)
ここから金融庁にアクセス!!
JSOX法関連資料
を無料でご提供します。
必要な方はダウンロードしてください。
mixi(ミクシィ)にコミュニティーを開設しました
SNSはmixiに変更しました。内部統制に関するコミュニティー「SOX内部統制の制度対応」を開催しました。コメントも頂けるようになりました。その中では、プロジェクトでの本音も話します。参考にしていただければと思います。mixiは紹介制ですので、どなたか参加者の方にご紹介頂いて参加してください。こちらからご連絡下さい
mixiへはこちらから
SOX法が誕生した理由を理解します!
内部統制の強化に関しては、以前から言われていたことですが、2001年のエンロン問題に端を発し相次ぐ不正のなか、即座に発布された物です。従っていつでも手を打てる状況にあったと言っても過言ではありません。
日本でも、最近の証券会社の誤発注や銀行員の横領など、数年前から今日に至るまで、不正や人的ミスが無くなる気配はありません。そこで、日本でも米国にならい(いつものパターンですが)SOX法を模倣しようとしているわけです。
正式には「Public Company Accounting Reform and Investor Protection Act of 2002:上場企業会計改革および投資家保護法」といいます。法案を連名で提出 したポールサーベンス(Paul Sarbanes)上院議員、マイケル・G・オクスリー (Michael G.Oxley)下院議員の名にちなんで、「サーベンス・オクスリー呼ばれています。日本では「企業改革法」と意訳されることが多いです。
それはともかく、SOX法が出来た背景を鑑みて、企業は粛正するべき所があれば、この機会にきれいにするべきだと考えます。但し、法制化されたと言え、遵守をまともに受け入れたら、機動力がそがれる心配もあることは忘れないようにしてください。
この法令は、誰のためでもない、自分たちの会社が旨く運営されるための仕組みであることを、認識するところから始めなければなりません。それが結果として、ステークホルダーの為に成るわけです。
具体策は、COSOフレームワークにあります!
 |
1992年に米国のトレッドウェイ委員会組織委員会(COSO:the Committee of Sponsoring Organization of the Treadway Commission)が公表した内部統制のフレームワークです。
今日、事実上の世界標準として知られています。従って具体的な内容もこのCOSOフレームワークがベースになっています。 |
 |
なぜこのようなフレームワークが必要だったかと言えば、内部統制という言葉に明確な統一した考え方がなかったからです。
そこで、経営者やそのほかの企業関係者の認識をそろえ、共通の定義を設定する目的でCOSOレポートが作成され公表されたわけです。 |
COSO ERMフレームワーク (リスクマネジメント)
 |
ERMとは「Enterprise Risk Management − Integrated Framework」(エンタープライズ・リスクマネジメント−統合的枠組み)の略語です。
COSO ERMフレームワークは、内部統制フレームワークを代替するものではなく、これを内包して範囲を拡大したものです。
ERMフレームワークには、「4つの目的」と「8つの構成要素」、そして事業体(全体)や部署(部分)といった「適用範囲」があり、それらが立方体(キューブ)の関係にあると紹介されています。
COSOフレームワークに比べると、目的に「戦略」が追加され、構成要素に「目的設定」が加わって「リスク評価」が「事象認識」「リスク評価」「リスク対応」に分割・詳細化されています。 |
情報システム部は、いま何をするべきでしょうか!
|
内部統制の概要は、イメージされたかと思います。しかしながら、実際の作業になるとこれまで経験のないドキュメントまで要求される可能性が出てくるわけです。
米国の例では、SOX法の内部統制に関わるドキュメントの整備だけで,平均2から3億円の費用がかかっています。
日本でも巨大企業では、内部統制整備に数億から数十億かけることが、計画されています。
その上、日本版SOX法は情報システムにまで、内部統制の仕組みを取り込んでいますから、現状のシステムを何らかの形で、法令に準拠したものにしなければ成りません。
方法はいくつかありますが、やはりドキュメントの整備です。システムを構築する上で何らかの方法論にのっとって開発されていれば、ドキュメント標準がなされ、テスト結果も保存されていると思います。
またメインテナンスの記録ドキュメントとテスト結果の整備は当然です。ところが現実には、ここまできちんとされているシステムは、あまりお目に掛かった事がありません。
ドキュメントの整備を現行システムにするぐらいなら、もともと業務フローが整備され組み込まれているERPを使った方が早い。と言う意見もあります。
しかしERPと言えども、法制度を前提に監査証跡を追える仕組みを入れているわけではありませんし、世の中には名ばかりのERPもありますから注意が必要です。
ドキュメントを整備するにも、ERPを利用するにも、相当なコストが掛かる事だけは事実です。
|
これをどこまでコストを抑えつつ、法令違反にならない程度にするかが課題になります。ポイントはIOです。
内部統制テンプレートを利用することが、望ましいですが、どこにでも合うものは存在しません。
ただ貴社内での業務を標準化する上で、まずテンプレートを作成する方法がベターです。
キャノンはこの方法で、USのSOX法を乗り切っています。下段にマイクロソフトが提供している内部統制テンプレートを紹介してあります。
これを加工して、貴社の標準テンプレートを作られるのも良いかと思います。 |
内部統制テンプレート HOT NEWS
 |
マイクロソフトが、以前よりアナウンスされていた内部統制のテンプレートサンプルを準備しました。これは主にVISIOを利用するものですが、以下のような稼働条件が必要です。
● 必要システム
Microsoft Windows 2000または、Microsoft Windows XP
Microsoft .NET Framework 1.1 SP1 以上、
Microsoft Office Excel
● 対応 Visio バージョン
Microsoft Office Visio 2003 Standard/Professional
※Visio2003の「.NETプログラミングサポート」機能がインストールされている必要があります。
このような条件を満たせば可能ですが、これ以外にACCESSも必要です。Office Professionalをお持ちでも、MySQLをインストールしていないと稼働しません。
ダウンロード出来る物には、テンプレートの「インストールに必要なファイル一式」と「操作手順書」がありますが、まず後者の「操作手順書」をダウンロードしてから、利用できるかどうか判断してください。
同一メーカーのOffice製品ですので、連携はある程度取れていますが、自動化とは行きませんので、専用システムに比べてしまうと使い勝手が気になります。
|
 |
しかしポイントは、このようなテンプレートを供給してもらったお陰で、(1)どのように作っていったら良いのか、(2)どう管理すれば良いのか、ヒントが貰えた筈です。そう言う意味では大変有り難いと思います。
私は、この環境を無理なく利用するとすれば、EXCELで必要なドキュメント一覧管理をして、それに連携する業務フローをVISOで作成して、ハイパーリンクでフォルダー管理をしておくだけでも、相当な集中管理が可能になると考えています。
作業が一通り終わったところで、ファイル毎、監査機能が付いたDATABASEに格納して、セキュリティー管理、ログ管理が出来るインフラを作ります。
DBは使いなれたもので構いませんが、SQL Server もしくは Oracle 10gあたりが良いかと思います。これを情報システム部で管理して、業務の変更毎に書き換えが可能な環境を提供する事になります。
そこにお勧めなのが、ポータルサイトです。各担当者毎の権限管理ができるソフトで開発するのが良いと思います。この環境は、業務の書き換えだけでなく、社内のコミュニケーションTOOLとしても利用できますから、この機会に導入されることを推奨します。
最近、サードベンダーからも、VISIO向けの内部統制テンプレートが5万数千円で発売されました。このようなものを利用して、ドキュメント化の負荷を軽減してください。('06.05.19 add) |
SOX対応TOOLが登場しています
 日経コンピュータではSOAを特集の中でSOX法対応TOOLを掲載しています。これらのツールは、
情報システムへのアクセスログ等の分析をして。規約違反の処理に警告を発する仕組みになっいます。SOX法対策が先行した米国でのノウハウが盛り込まれている可能性はあります(期待として)。実情に合わせて使えば、効率的な対応ができると考えています。
それぞれのソフト資料が、
入手でき次第ダウンロードに掲載していきます。(下表は日経コンピュータ2006.2.6からの転載です)
|
