日本版SOX法とは何でしょうか。
米国のSOX法にならい日本企業の内部統制の評価・報告及び監査について「金融商品取引法」で定めたものであり、「財務報告に係る内部統制の評価及び監査の基準案」(2005年12月8日 企業会計審議会内部統制部会)が2005年12月8日に公表され、今後、詳細な手続を定めた「実施基準」の公表が予定されています。
内部統制について教えてください。
企業が法令を遵守し、不正な行為が生じないよう、そして効率的にビジネスを行うことができることを目的として、企業内でのコントロール等をする仕組のことをいいます。
なお、「財務報告に係る内部統制の評価及び監査の基準案」においては、「内部統制とは基本的に、企業等の4つの目的([1]業務の有効性及び効率性、[2]財務報告の信頼性、[3]事業活動に関わる法令等の遵守、[4]資産の保全)の達成のために企業内のすべての者によって遂行されるプロセスであり、6つの基本的要素([1]統制環境、[2]リスクの評価と対応、[3]統制活動、[4]情報と伝達、[5]モニタリング、[6]ITへの対応)から構成される」と規定されています。
会社法で整備が要請されている内部統制について教えてください。
会社法では、取締役(または執行役)の執務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制の整備が要請されています。具体的には法務省令において、取締役の職務の執行に係る情報の保存及び管理に関する体制などが挙げられていますが、実務的にどのレベルまで体制を整備すればよいのかについての詳細な規定はありません。
米国でSOX法が導入された背景について教えてください。
エンロン事件やワールドコム事件に代表される企業不正事件がきっかけとなり、米国においてあらためて内部統制の重要性が社会的に認識されました。これをうけて企業の内部統制を厳格に規制する目的で米国においてSOX法が導入されました。
日本版SOX法が導入された背景について教えてください。
カネボウ事件などの不正事件が多発しており、日本公認会計士協会による調査でも従来の日本の会計監査では諸外国と比較した場合に内部統制の評価等に費やされる時間が少ないことが明らかになりました。また、米国をはじめ英国、フランス、カナダ、韓国等の諸外国においてもSOX法に類似した法令が導入、又は導入の過程にあることから、それにならい日本版SOX法が導入されることになりました。
日本版SOX法がいつから導入されるか教えてください。
2006年6月に「金融商品取引法」が成立し、日本版SOX法は2009年3月期から適用されることとなりました。
日本版SOX法が適用になるのは、どのような企業か教えてください。
上場企業が対象となるものと考えられていますが、明確な規定はまだ設けられていません。
日本版SOX法で要請されている作業について教えてください。
大きく会社レベルの統制と業務プロセスレベルの統制に分けられ、会社レベルでの統制はマネジメント層に対するヒアリングを中心として、業務プロセスレベルでは3点セット(業務記述書、フローチャート、リスク・コントロール・マトリックス)と呼ばれる文書を作成し(一般に文書化と呼ばれます)、実際にテストを行うことにより評価を実施することになります。
日本版SOX法はどのような法令等で規定されているかについて教えてください。
証券取引法、金融先物取引法、投資顧問業法を包含した「金融商品取引法(投資サービス法)」のもとで日本版SOX法にかかる規定を制定する予定で審議が進められています。
2005年12月に発表された「財務報告に係る内部統制の評価及び監査の基準のあり方について」および「財務報告に係る内部統制の評価及び監査の基準案」で規定されている内容について教えてください。
内部統制の定義を含む内部統制のフレームワーク、財務報告に係る内部統制の評価及び報告についての手法、そしてこれらに関する監査についての概要が規定されています。
日本版SOX法で評価対象とすべき範囲を決定する手法について教えてください。
監査法人等の外部監査人と協議のうえ、評価と対象となる勘定科目を決定します。その後、評価対象となる事業所を決定し、最終的に評価対象となる業務プロセスを決定することになります。
会社レベルの統制について具体的にどのような作業をするべきか教えてください。
プロジェクト・チームのメンバーが役員に対してインタビューを実施します。行動規範の整備状況や組織体制に関する具体的な質問とそれに対する役員の回答、回答の根拠となる証拠書類(エビデンス)、必要に応じて目標と現状の差異や対応策などを文書として記述します。
業務プロセスレベルの統制について具体的にどのような作業をするべきか教えてください。
重要な勘定科目の選定、評価対象範囲の決定を経て、業務記述書、フローチャート、リスク・コントロール・マトリックスを作成したうえで、綿密なテスティング計画に基づいてキー・コントロールに関するテスティングを実施して有効性を検証します。
業務記述書とは何でしょうか。
業務プロセスを細分化したサブプロセスごとに業務の概要や手順とともに業務におけるコントロールを簡潔な表現によって作成した文書のことをいい、コントロール記述書と呼ばれることもあります。各リスクの内容に対応したコントロールの種類や方法、コントロール担当者、証憑(エビデンス)など、内部統制に必要な情報をできる限り記載します。
フローチャートとは何でしょうか。
業務や作成した文書・データの流れに沿ってコントロールを図式化した文書です。通常、コントロールには番号を付し、必要に応じて具体的な内容を記述します。フローチャートを作成することによって部門間にわたるリスクに対してコントロールを適切に実施することができます。
リスク・コントロール・マトリックス(RCM)とは何でしょうか。
サブプロセスごとに業務記述書とフローチャートの記載内容を一覧表にまとめた文書です。さらにRCMでは各統制手続によって担保されるアサーション、統制上の欠陥がある場合には、その内容とアクション・プランを記述します。
日本版SOX法とITの関係について教えてください。
日本版SOX法はCOSOフレームワークを踏襲しながらも、COSOでは特別に規定されていない「ITへの対応」を内部統制の基本的要素の一つに加えています。これはCOSO公表後のIT環境の飛躍的進展によるものだとされています。
IT全般統制について具体的にどのような作業をすべきか教えてください。
IT全般統制にはプログラムの開発や保守管理、コンピュータの運用、プログラムやデータへのアクセス権限の管理があります。たとえばアプリケーション・システムやインフラの取得、ソフトウェアの開発、システム・セキュリティの確保などがあげられます。
ITアプリケーション統制について具体的にどのような作業をするべきか教えてください。
ITアプリケーション統制は業務処理システムにおいてデータの実在性や網羅性を確保するためにアプリケーション内に組み込まれた統制であり、たとえば販売プロセスにおいてオンラインによる受注件数と取引先への請求件数の一致を確認することなどがあげられます。
日本版SOX法適用に関し、事前にどのような準備をしておくべきか教えてください。
プロジェクト・チームの編成から文書化、有効性の検証(テスティング)に至るプロセスを社内で実践できるように、内部統制の目標を設定したうえで具体的な作業にかかる工数や時間を設定し、予算を十分に確保する必要があります。又、導入初年度には外部コンサルタントを利用するケースもありえますが、彼らのスキルを有効に利用するためにも社内で日本版SOX法にかか事前の理解が重要となります。具体的には、従業員に対する十分な教育研修が重要となります。
日本版SOX法適用に関し、想定されるコスト(工数)について教えてください。
事業規模や事業単位数によって大幅に異なりますが、参考までに弊社で情報収集した事例をご紹介いたします。日本版SOX法対応で先行している一部上場企業の例です。この企業では、評価対象となる事業所を5箇所程度と予測し、結果として評価対象となるプロセスを合計80程度と見込んでいます。また、1プロセス当たりの標準作業工数を30人日程度と仮定し、30人日×80プロセス=2,400人日と見込んでいます。
|
|
会社概要
「図解 これならわかる!内部統制のしくみと実務」
「財務報告のためのIT統制 その進め方と評価」
「図解 ここだけは押さえておきたい!日本版SOX法」
「図解 日本版SOX法」
「図解内部統制のしくみがまるごとわかる―知らなかったでは済まされない!」
内部統制Q&A 経営幹部の疑問にズバリ答える
情報システムの内部統制―ITに対応した評価の計画と手続