Relaxの雑記

Relax的雑記集

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
3680社5750名の監査役により組織されている、日本監査役協会より、 内部統制システムに係る監査の実施基準(公開草案)が公表されました。

http://www.kansa.or.jp/news/index.html#news070316

財務報告内部統制の監査の項では、以下の項目を具体的に掲げています。
金融商品取引法における内部統制、いわゆるJ-SOX対応を進められている企業も参考になりそうです。
イ 売上・原価の実在性と期間配分の適切性、棚卸資産の実在性、各種引当金計上の妥当性、税効果会計の妥当性、減損会計の妥当性、ヘッジ会計の妥当性、オフバランス事項その他重要な会計処理の適正性
ロ 重要な会計方針の変更の妥当性
ハ 資本取引、経常的取引における重要な契約の妥当性
ニ 重要な資産の取得・処分等の妥当性
ホ 資金運用の妥当性(デリバティブ取引等を含む)
へ 財務報告に重要な影響を及ぼすIT全般統制・情報システムの整備状況
ト 会計基準や制度の改正等への対応
チ 剰余金処分に関する方針の妥当性
リ 連結の範囲及び持分法適用会社の範囲の妥当性
ヌ 連結決算に重要な影響を与える企業集団内の会社に関する、上記の各事項の適正な会計処理



スポンサーサイト
内部統制セミナー 3月開催のまとめ

直近で行われる内部統制関連のセミナーです。
IT系の内部統制セミナーが中心。
内部統制報告書の雛形でも出ると、セミナー自体が増えそうです。

2007年3月7日 大阪 内部統制構築支援ソリューションセミナー 日本電気株式会社
2007年3月13日 東京 内部統制のためのITサービスマネジメント-ISO20000とは- 日本経済新聞社
2007年3月14日 東京 内部統制ソリューションセミナー 三菱電機インフォメーションテクノロジー株式会社
2007年3月16日 大阪 製造業様向け 企業の内部統制対策を実現する生産管理セミナーのご案内 日本ユニシス株式会社
2007年3月19日 東京 内部統制におけるIT活用と評価」セミナー 株式会社日立情報システムズ
2007年3月28日 東京 待ったなし!内部統制のリスク対策 富士通株式会社



J-SOX、内部統制などの法整備や、上場廃止などの対応策で解決する問題ではないのかも知れない。


日興、上場廃止へ 不正決算問題で3証取asahi.com より
2007年03月03日06時24分
 東京、大阪、名古屋の3証券取引所は2日、不正な利益水増しで過去の決算を訂正した国内3大証券のひとつ日興コーディアルグループの株式を、上場廃止する方向で最終調整に入った。前経営陣が利益水増しに関与し、水増し額も多額なため「悪質性が高く上場廃止基準に触れる」と判断している模様だ。東証は3月中旬に正式決定し、4月中旬に廃止する見通し。日興は廃止も視野に米金融大手シティグループの傘下入りなどを検討しており、近く提携戦略を固めるとみられる。


企業ブランドなんて、不祥事一発で消し飛んでしまう時代を迎えている。

これは企業に限らないが、今の時代は複雑系の時代と呼ばれる。


複雑系としての社会システム 永井俊哉ドットコムより

複雑系とは、「複雑系の時代」で定義したように、複雑な(不確定な)環境に晒されつつ、その複雑性(不確定性)を縮減することを通して、自己自身を複雑にする系(システム)である。

複雑系には、自己準拠型システムと他者準拠型システムの二種類がある。他者準拠型システムは、他のシステムの選択結果(アウトプット)を変数(インプット)として含む関数で、この関係が相互的である場合、そのシステムは複雑系になる場合が多い。


企業のあり方が極めて複雑系の状態にあると、その企業の将来を予測することが不可能になってくる。
それは、経営者、社員、ステークホルダー、取引先などの置かれている環境や行動、意志決定など様々な多数の因子または未知の因子との相互関係が、結果の予測を困難にするためだ。


今の時代、企業の信用とは、ガラスの塔の様なモノだ。


これからも、不祥事で多くの企業が淘汰されていくだろうが、その対応策が与える結果の未来は、誰にも予測できない。



内部統制 関連情報のまとめ


実施基準も確定したことですし、参考になりそうな内部統制の関連情報をまとめてみました。


■全体概要

□内部統制 (あずさ監査法人)
 http://www.azsa.or.jp/b_info/keyword/tousei.html

□内部統制 (@IT情報マネジメント用語事典)
 http://www.atmarkit.co.jp/aig/04biz/internalcontrol.html


■国内内部統制関連

 □企業会計審議会
  http://www.fsa.go.jp/singi/singi_kigyou/top.html
  
 □公認会計士協会
  http://www.jicpa.or.jp/

 □CPAAOB:公認会計士・監査審査会(PCAOBの日本版)
  http://www.fsa.go.jp/cpaaob/


■金融商品取引法(J-SOX)の内部統制

 □金融庁
・金融商品取引法
  証券取引法等の一部を改正する法律 金融庁より
  http://www.fsa.go.jp/houan/162/hou162.html

 ・企業会計審議会 内部統制部会 議事録
  http://www.fsa.go.jp/singi/singi_kigyou/top_gijiroku.html#naibu

 ・実施基準[財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について]
  http://www.fsa.go.jp/singi/singi_kigyou/siryou/soukai/200/70215/01.pdf (pdf)


 □経済産業省「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)」(経済産業書管轄 IT統制指針 COBIT for SOXの日本版の位置づけ?)
  http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1030&btnDownload=yes&hdnSeqno=0000018191


 □「内部統制報告書」のひな型、3月末に内閣府令で明らかに
  http://itpro.nikkeibp.co.jp/article/NEWS/20070131/260255/


■会社法の内部統制

 □会社法
  http://law.e-gov.go.jp/htmldata/H17/H17HO086.html
 
 □会社法における内部統制システム(大和総研レポート)
  http://www.dir.co.jp/consulting/report/strategy/06051701strategy.html


■米国SOX法(US-SOX)関連

□Sarbanes-Oxley Act(Wikipedia 英語)
http://en.wikipedia.org/wiki/Sarbanes-Oxley_Act

□上場企業会計改革および投資家保護法 US-SOX(Wikipedia)
http://ja.wikipedia.org/wiki/%E4%B8%8A%E5%A0%B4%E4%BC%81%E6%A5%AD%E4%BC%9A%E8%A8%88%E6%94%B9%E9%9D%A9%E3%81%8A%E3%82%88%E3%81%B3%E6%8A%95%E8%B3%87%E5%AE%B6%E4%BF%9D%E8%AD%B7%E6%B3%95

□COSO(the Committee of Sponsoring Organization of the Treadway Commission:トレッドウェイ委員会組織委員会)
  http://www.coso.org/
 
 ・COSOフレームワーク(内部統制フレームワーク)
  COSOフレームワークの解説 Deloitte キーワード
  http://www.er.tohmatsu.co.jp/keyword/html/key013.shtml
 
 ・COSO ERM(COSO Enterprise Risk Management-Integrated Framework)
  COSO ERMの解説 KPMG ビジネスキーワード
  http://www.kpmg.or.jp/resources/keywords/coso_erm.html

□PCAOB:Public Company Accounting Oversight Board (公開会社会計監視委員会)
  http://www.pcaobus.org/index.aspx

 ・PCAOBの解説 KPMGビジネスキーワード
  http://www.kpmg.or.jp/resources/keywords/pcaob.html

 ・PCAOB Auditing Standard No. 2(英語/pdf) 近く改訂予定
  http://www.pcaobus.org/Rules/Rules_of_the_Board/Auditing_Standard_2.pdf

□COBIT:Control Objectives for Information and related Technology (企業等、組織におけるITガバナンスの指針)
 ・COBIT for SOX 2nd Edition 英語版(ISACAより)
  http://www.isaca.org/Template.cfm?Section=Home&CONTENTID=27507&TEMPLATE=/ContentManagement/ContentDisplay.cfm
  http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentFileID=12383 (pdf)
 
 ・COBIT for SOX 2nd Edition 日本語版 (日本ITガバナンス協会 Webより)
  http://www.itgi.jp/download.html
  http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentFileID=12383 (pdf)

□AICPA(米国公認会計士協会)
  http://www.aicpa.org/

□SAS70(受託業務にかかわる内部統制の監査人業務基準)
 ・Statement on Auditing Standards (SAS) No. 70(英語)
  http://www.sas70.com/index2.htm
 ・SAS70の解説 KPMG ビジネスキーワード
  http://www.kpmg.or.jp/resources/keywords/sas70.html

□SEC 証券取引等委員会 (U.S. Securities and Exchange Commission)
 http://www.sec.gov/


■関連情報

□内部統制動向・IT関連情報
  内部統制.jp
  http://itpro.nikkeibp.co.jp/tousei/
 
□新日本監査法人 内部統制サービスライン
  http://www.shinnihon.or.jp/service/ic/index.html

□あずさ監査法人 内部統制評価構築支援サービス
  http://www.azsa.or.jp/serviceline/ic.html

□監査法人トーマツ 内部統制の評価とコンプライアンス
  http://www.tohmatsu.co.jp/service/fig/fig06.shtml
 

□まとめサイト  
  内部統制のチェックリスト(横山会計事務所)
  http://www.hi-ho.ne.jp/yokoyama-a/naibutousei.htm

IT周りは控えめにしておきました。気が向いたら、IT統制周りのまとめも作ります。







内部統制の実施基準が2月15日に確定しました。

内部統制実施基準が正式確定、「画一的な文書化は誤解」と改めて強調 内部統制.jp記事より

より具体的な実行指針は、今後公認会計士協会などから出されるのかも知れませんね。



過度な理想論の果ては、単なる混乱しかもたらさない。



ITpro Enterprise  IT Service Forum 2006(2006年11月21日) 堀江正之氏 日本大学教授 講演より
【特別講演】内部統制構築と評価の勘所 監査のための内部統制ではない
http://itpro.nikkeibp.co.jp/article/COLUMN/20070117/258910/
講演された堀江先生は、経産省「IT統制ガイダンス」のIT統制に関する調査検討委員。



日本版SOX法と呼ばれる金融商品取引法により、内部統制強化があわただしく進められているが、あまりに近視眼的な視点での対応が多いと指摘する。




そりゃそうでしょ。
金融商品取引法が先に決まり、対応準備期間は有限ですよね。
それなのに、実施基準は相当遅れ、国内の先行事例も無い中で、どの程度、現実的な対応が取れるのでしょう??



財務諸表にかかわる統制ばかりに目が奪われているが、経営視点に立った情報開示の方が重要である。例えば、米ジョンソン&ジョンソン(J&J)は1982年に「タイレノール事件」を起こした。鎮痛剤を服用した患者7人が、原因不明のまま死亡した事件である。同社は即座に1億ドル以上をかけて3100万個のタイレノールを回収。6週間後には改良を加えた商品を発売し、売り上げを大きく伸ばすことに成功した。「適切な情報開示と緊急事態への対応が、企業価値を向上させるのです」(堀江教授)。




理想論はよく分かるのですが。



こういった権威ある方々は、現実的なアプローチをメッセージとして発信する義務があると思う。




現実的アプローチとは、【内部統制に関しては、監査に対応するため必要最低限の準備を行い、監査を担当する会計士に相談する保守的なアプローチ】  だろう。




会計士はAuditには強くても、(さほど得意でない会計士だっている)そもそも、リスクマネジメントやITとは土俵の違うプロフェッショナル。
中にはマルチの強みを持つ会計士もいるでしょうが、野球選手で例えるなら、松井やイチロー見たいな人を探すようなもの。
その彼らから、ITだのリスクマネジメントだののアドバイスが十分に期待できないなら、致し方ないでしょう。



まずは企業の、プロジェクト担当者の焦りと不安を少しでも和らげる事が、その企業の将来における有効な内部統制の基盤となる。
いきなり劇薬飲ませようとしても、まともに飲んで死んでしまうか、口に入れる前に吐き捨てられるかどちらかだよ。




監査のクリアを目的にSIベンダーにいわれるがままにシステムを導入し、統制整備を進めている企業が目立つが、これでは本末転倒だ。
「IT統制が定められているが、ITを必ずしも利用せよとは明記されていない。ITは業務の適正化と効率化のために利用するものであり、ここにも誤解があります」と指摘する。




確かに本質でしょうね。《ITサービスフォーラム》で語らなければ最高なのですが。まあ、他にも同様の先生も多々いらっしゃいますので。書き入れ時ですものね。



今日31日に内部統制部会が開かれるようです。果たして実施基準の正式版は公開されるのでしょうか。


こちらはパブリックコメントが相当集まっているようですが、果たして正式決定されるでしょうか。


@IT 日本版SOX法「実施基準」が正式決定へ、31日に内部統制部会 記事より
http://www.atmarkit.co.jp/news/200701/23/sox.html

金融庁は1月31日に企業会計審議会 内部統制部会を開催し、昨年11月21日に公開した日本版SOX法の実施基準の公開草案について議論する。集まったパブリックコメントを委員に紹介し、必要があれば修正する。金融庁は「場合によっては委員の承認をいただく」としていて、この場で実施基準の決定版が公表されそうだ。



日本の内部統制における、IT統制指針となるのでしょうか。


経産省が日本版SOX法対応の「IT統制ガイダンス」公開
http://www.atmarkit.co.jp/news/200701/19/sox.html
システム管理基準 追補版(財務報告に係るIT統制ガイダンス)案
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207003&OBJCD=100595&GROUP=



@IT 経産省が日本版SOX法対応の「IT統制ガイダンス」公開 記事より
 エンドユーザーコンピューティングの危険を指摘
第II章ではIT統制の3つの分類に応じて、企業が取り組むべきことを紹介している。特徴は「例えば」として豊富な例示をしていること。IT全社的統制については、「経営者の方針や指示は、適正な手段で関係者に伝えられなければならないが、例えば、電子メールやイントラネットなどのITを利用した伝達は全社に浸透させる上で効果的である」(情報と伝達)などとしている。
 IT全般統制では、評価対象となる統制項目を示す。IT業務処理統制についても統制項目を紹介。項目の1つにはエンドユーザーコンピューティング(EUC)も含まれ、「財務報告に係る情報処理でEUCを利用するときの問題として、多くの企業においてユーザー部門により行われ、また、利用者のPC が利用されるため、全社的な管理から漏れていることが考えられる。そのため、スプレッドシートや作成されたデータのバックアップが十分でないことがある。財務情報を処理するという観点からは、計算式等の誤りや決算データの恣意的な修正等、虚偽記載につながる可能性について考慮しなければならない」と指摘している。



親会社の財務諸表金額を妥当なプロセスで算出できても、子会社の決算数字がスプレッドシートで集まってくる場合、
そのスプレッドシートが改変されてしまっては、何の意味もないですな。


2009年3月期決算から上場企業に連結ベースで義務付けられた、いわゆる日本版SOX対応へ向けて、これまで様子を見てきた企業も、2007年上半期からは、内部統制へ本腰を入れた具体的対応を迫られることになりそうだ。



振り返れば、内部統制というキーワードを広く社会に認知させたのは、IT業界だろう。
そして、雨後の竹の子のように現れた、内部統制というキーワードに包装された商品やサービス達。
実際の対応を迫られている担当者は、セミナーや新聞、WEBなどを通じて、これらのメッセージを数多く目にされたのではないだろうか。



幾つかの竹の子は、実施基準案※1で具体的に取り扱われすぎたITの記述により、計らずとも、その関係性の少なさが証明されることになり、収穫前に包装を剥がされ始めてさえいるようだ。




業界でも、一部のコンサルティングファームなどを除いて、内部統制で儲かっているという話はまだ殆ど聞かない。
殆どの対象企業も、IT業界も、どうやらこれからが本番のようだ。
では、これから本番対応を向える企業にとって、理解しておくべき内部統制の本質とは何なのだろう。




それは、内部統制への対応それ自体は、
1.高負荷
2,高コスト
3.収益貢献割合の低い

プロジェクトであるという本質である。



専門家や学者の唱える内部統制の高尚な目的は確かに重要なのだろう。これを軽視することはできないのだが、さておき、この本質は、しっかりと見つめておかなければならない現実的なテーマに思えてならない。





予算が有り余るほどにあれば別だろうが、いや、ひょっとすると、有り余る予算が割り当てられているからこそ、受動的、場当たり的な対応で取り組むのではなく、恐らくは、

1.何が高負荷で、どうすれば負荷が下がるのか。
2.何が高コストで、どうすればコストが下がるのか。
3,何が低収益貢献で、どうすれば収益貢献が高まるのか。

とそれぞれの仮説を立て、検証した上で、積極的に取り組むべきテーマなのだろう。



1.で一例を示せば、最も負荷が高いと呼ばれている作業では、米国事例や国内の先行事例では、業務プロセスの可視化、すなわち【文書化】にあると言われている。このような高負荷作業を徹底的に洗い出す。
そして【文書化】であれば負荷を下げるにはどうすれば良いのかと深めていく。


・業務プロセスをどうやったら洩れやダブリのない状態で把握できるのか。
・どういうレベル、単位で業務を掘り下げていけば良いのか。
・業務プロセスに潜むリスクを、どうやって認識すれば良いのか。
・業務プロセスに変更が生じた場合、作成された文書にどのような修正を行えばよいのか。


まずは、こういったテーマを効率的に解決できる手段、アプローチ、ITや人材の活用方法などを検討できるはずだ。



2.であれば、一般的にコストは、イニシャルコストとランニングコストに分解される。
イニシャルコストでは、どこにコストが多くかかり、ランニングコストでは、どのくらい継続的な支出を伴うのかを定量的に掘り下げる。
米国SOXでは、米国の大手電気メーカーが30,000を超えるリスク統制で苦しみ、米国の大手ITベンダーが全社プロセス統合を優先し、その後に定義した400以下のリスク統制で留めている意味は何なのか。


内部統制が先行している米国で、昨年10月に発表された、COBIT for SOX 2nd Editionでは、なぜトップダウンリスクアプローチが採用されたのか。



検証できることは沢山あるはずだ。



まだ暫くは内部統制というキーワードを自体を目にするだろう。しかし、恐らくは、内部統制というキーワードをあまり耳にしなくなったときこそ、周到な準備の違いが浮き彫りとなるはずだ。



負荷を下げ、コストを下げておくことは、その時代の大きな収穫につながる。
先見ある企業に取って、2007年はまさに種をまく時期になるのだろう。


※1 実施基準案:正しくは「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」
   本Blog記入時点(2007/1/6)では、パブリックコメントの内容検討中というステータスにある。





日本版SOX法実践ガイド

日本版SOX法実践ガイド





 



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。