Google
 
Web お客様のドメイン名

2006年06月21日

日本版SOX法入門 (4回目)

第4章では、具体的にどんなふうに作業を進めていったらよいのかが書いてある。僕が勉強していたシステム監査に近い内容がところどころにあり、わりと理解できた。
『 』内はこの本からの引用

--------------------------------
第4章 内部統制整備への取り組み
--------------------------------
『日本版SOX法の対象となるのは上場企業約4,000社とその連結子会社をあわせて約50,000社になると見られている(P127)』
この数字を見る限り、監査法人、コンサルティングファーム、IT企業などにとって、大きなビジネスチャンスと思われる。2000年問題の時のように、この影響で経済も好転に転じるかも・・・2000年問題の時は、忙しかったけど、僕の収入もだいぶよかった^^
だけど、忙しくなくて収入が多いというのがベストなんだけど^^;




『内部統制整備のプロセス
(1)方針・対応の決定
 ↓
(2)計画策定と対象業務プロセスの決定
 ↓
(3)プロジェクトチーム結成
 ↓
(4)業務プロセスごとのリスクとコントロールを文書化
 ↓
(5)問題の識別と改善
 ↓
(6)有効性の検証
 ↓
(7)報告書の作成と監査(P127)』

プロジェクトチームが必要で、プロジェクトマネージャの需要が増えますね。
僕もプロジェクトマネージャを目指していたけど・・・^^;;

『作業を進める方法としては、以下のものが考えられる
@監査法人やコンサルティングファームにコンサルティング・指導を依頼する
AITベンダと共同でプロジェクトを組み、文書化作業についてはITベンダに委託する
BERPベンダ、コンサルティングファームが提供するパッケージやツールを利用する
C社内だけでプロジェクトを組んで取り組む(P131)』

Bについては、いろんな企業が日本版SOX法に対応するツールやサービスを出している。
どのツール、サービスを選んでいいのか?選択は非常に難しい。

『COSOの内部統制のチェックリストから一部引用
・適切かつ信頼できる内部・外部の情報は、タイムリーに識別され、編集されて、実行を担当する人に伝達されているか?
・リスクは識別され、分析され、そのリスクを和らげるための行動が採られているか?
・経営者の意思決定が適切に実行されることを確実にする統制がとられているか?
・経営者は、組織の業務遂行過程における統制を日常的にモニタリングしているか?
・統制システムの定期的、体系的な評価は、実施されて、文書化されているか?(P136)』

このチェックリストが最初の検討材料ということになりそう。全文はどうも有料でしか入手できないようだ。このチェックリストと企業内の現状とを照らし合わせて、あるべき姿に近づけるにはどうしていけばいいかを考え、計画に落とし込んでいくことが必要だろう。

『プロジェクトの期間は半年から2年以上かかると思われる(P137)』
やはり大規模な情報システムを構築するのと同じぐらいの期間がかかるということになりそう。

『購買依頼書の発行
10万円以上の購買の承認は部長が行うことになっている場合に、現実には課長が代行できるようになっているとすると、購買に関する内部統制は機能していないということになる(P138)』

これもよくあるケースだと思う。担当者が部長や課長の承認印を自分で押して処理していたりなんてことはよく目にする^^;
特に購買なんかは、業務上横領なんかをしやすいところで、よくニュースになってますね。

『実際にそのコントロールが機能しているという証明を提出
購買依頼書に部長の押印がなされているサンプルを保存し、内部統制を記述した文書として保存』

いわゆる、「監査証拠」というやつ。

『米国と比較して日本版SOX法の最大の特徴は、ITとの関係を明記している点
内部統制の適切性の判断において、ITの利用法や情報システムに対して内部統制が適切に実施されているかが重要(P148)』

システム監査人の出番ですね。^^

『ITを利用した内部統制には、全般統制と業務処理統制の2つがある』
システム監査の対象とするところです。^^

『IT全般統制というのは、情報システム部門の管理運営が正しく行われていることの保証がなされているかということ(P151)』
ちょっと抽象的な表現なので後ほど具体例を・・・

『評価の対象となるコントロールをあまり細かく挙げすぎると、評価結果の全社統合が大変になる。何のために行うコントロールなのかを明確にした上で、統制上の要点を満たすコントロールだけに絞って文書化していくのが現実的(P155)』
よくあること・・・やっている作業・・・手段が目的になってしまうってこと。
それで本当は、目的からすれば不要なのに、完璧を求めるあまり、なんでもかんでも列挙してしまう・・・ということがありがちですね。

『IT業務処理統制の文書化
アプリケーション開発や変更において作成された「要件定義書」、「システム設計書」、「プログラム仕様書」などの文書が常に適切に更新され整備されていることを保証する文書類(P162)』

これもシステム監査の対象ですね。^^

『IT全般統制とは、アプリケーション実行環境の機密性、完全性、可用性、安全性、信頼性、効率性を担保する統制のこと(P162)』
全般統制というのは、たとえば、情報システムの保守でプログラムの修正をする場合に、システム部門の人間が、業務部門の受入テストすることなしに、修正プログラムを本番環境に入れてしまうことができてしまうというようなことを防止すること。こんなことができたら、極端な話、SEが自分の給料を多めに計算するようなプログラムにしてしまうことができることになってしまいますからね^^;

『IT全般統制=ITガバナンスの実現
ITガバナンスとは
・直訳:情報技術を統治すること
・経済産業省:企業が競争優位性を目的にIT戦略の策定・実行をコントロールし、あるべき方向へ導く組織能力
・簡略化:適切な情報化戦略の策定と実行できる能力(P162)』

『データとして入力される日付と会計処理日付との関係で論理的なチェックが組み込まれていない限り、財務報告の虚偽記載に関わるケースが発生し得るため、前倒し計上による入力や記録をさせないなどのコントロールが重要(P179)』
会計システムで最も不正が行われやすいところ。そういえば、以前かかわった会計システムでは、前倒し計上、つまり、会計処理日付が未来の日付になるような入力ができてしまたような覚えがある。考えてみたらこれはおかしなことで、実際にはまだ発生していない取引が、既に記録されてしまうということになる。

『真面目に業務にとりくんでいる企業にとっては、当たり前のことをSOX法は要求している
業務プロセスにおける暗黙知が形式知に変換され、誰でも理解できるようになる(P187)』

こういうふうに言われると、SOX法に対応するのに四苦八苦する企業は業務に真面目に取り組んでないということだ言われてるような気がするが・・・^^;
「真面目に」というより、「完璧に」と言い直したほうがいいような気もする。

読んでみたいと思った方はコチラ
 ↓

posted by 赤坂マスオ at 22:29| Comment(2) | TrackBack(1) | 読書 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
ご訪問&リンクのお申し出ありがとうございました。
今後の読書の参考にまたお邪魔させて頂きますね☆
Posted by Henry at 2006年06月22日 00:37
こんにちは。
コメントいただきましてありがとうございます。学ばせていただきます。よろしくお願いします。
Posted by Smiley at 2006年06月22日 06:19
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック

008-02 社債発行時の会計処理 【でたらめ簿記2級独学勉強法】
Excerpt: 【社債発行時の会計処理】
Weblog: 簿記2級独学勉強法−簿記2級の勉強?問題集?検定?−でたらめ簿記2級勉強法
Tracked: 2006-06-22 11:49
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。