内部統制（J-SOX）対応（確認）

COSOフレームワーク

内部統制対応の概要（業務処理統制）

全社的な統制

IT全般統制

IT全般統制

IT全般統制

内部統制（J-SOX）対応（確認）

　連載の第２回目の最初に「J-SOX対応」と称される内部統制対応業務に関して確認をしていきます。

　「J-SOX対応」とは、金融商品取引法における内部統制対応を指します。対象となるのは、国内市場に上場する企業で、現時点では約3,700社ということになります。2008年４月以降に始まる会計年度を対象として施行されており、多くの企業は現在、3度目の会計年度を迎えています。（国内企業の約７割が３月決算の会社です）

※「財務報告に係る内部統制の評価及び監査の基準のあり方について」（平成17年12月8日　企業会計審議会内部統制部会）

COSOフレームワーク

　J-SOX対応の基本的な枠組みとしては、COSOフレームワークが利用されており、一部については「日本化」が施されています。

□　国際会計基準（IFRS：International Financial Reporting Standards）

内部統制対応の概要（業務処理統制）

内部統制対応（業務処理統制）の進め方は、概ね次のとおりとなります。
①　スコーピング
・対象企業、対象拠点を決定する。
（連結ベースの売上高等の概ね2/3程度に達している事業拠点、加えて重要性など）

②　対象業務プロセスの決定
・「J-SOX対応」においては、「売上」、「売掛金」、「棚卸資産」という三つの勘定科目に関連する業務プロセスが対象となる。これらは企業会計において不正が発生し易く「三悪」と称されるものである。

・「決算」「販売」「購買」「生産・在庫・原価計算」「人事・給与」「固定資産管理」「財務」といった業務プロセスが対象となる。

③　リスクの棚卸
・業務プロセスの中身を取引の流れの区切りから、幾つかのサブプロセスに分け、サブプロセス毎に、「財務諸表において虚偽記載がなされるリスク」を洗い出す。

・サブプロセスの数は企業の事業形態により異なり、多くの事業セグメントを持つ企業では400にも上る一方で、ビジネスモデルがシンプルな企業では50未満といったところもある。一般的には100前後とされる。

□　国際会計基準（IFRS：International Financial Reporting Standards）

④　文書化（３点セット）
・いわゆる３点セットの作成を行ない、リスクの所在とこのリスクを統制するコントロールを明らかにする。

・３点セットとは、「リスクコントロールマトリックス（RCM）」「業務記述書」「業務フロー図」である。

⑤　文書化（規程集など）
・本来的に必要となる業務関連文書の整備を行う。

・規程集／マニュアル／書式などの点検、整備を行う。

⑥　有効性評価／不備管理／不備改善
・①～⑤を通じて構築された内部統制の整備状況に関する評価と、その運用状況の評価（テスト）を行なう。

・テストは「リスクコントロールマトリックス」において「キーコントロール」とされる統制に対して行なわれ、原則としてサンプリングにより十分かつ適切な証拠を入手する。

・テスト結果が「不備」とされた場合には、この「不備」を管理し、その改善までを確実に実施する。

⑦　報告
・テスト結果についてはJ-SOX推進組織／内部監査部門により取りまとめられ、経営者が「内部統制の有効性を評価」し、これを決算のタイミングで「内部統制報告書」として作成する。

・「内部統制報告書」は他の財務諸表と同様に監査法人により監査され、監査法人より、監査意見が表明される。監査ポイントは、①評価範囲の妥当性　②経営者による全社的な内部統制の評価　③業務プロセスに係る内部統制の評価　④経営者による業務プロセスに係る内部統制の運用状況の検証方法　⑤ITを利用した内部統制が適切に考慮されたかである。

・企業による内部統制において重要な欠陥（不備の中で連結税引前利益において5%程度の影響が考えられるもの）が発見された場合には経営者は、内部統制報告書において、重要な欠陥が発生したことを報告する。

全社的な統制

　全社的な（内部）統制とは、企業グループ内のさまざまな組織、事業、業務プロセスなどに対して広範な影響を及ぼす統制のことで、業務処理統制や、IT全般統制に先立って、企業全体の内部統制に関する土台をなすものと言えます。
　全社的な統制に関しては、金融庁の実施基準案に、評価項目と評価方法に付いてのガイダンスが示されています。「財務報告に係る全社的な内部統制に関する評価項目の例」として、全部で42項目が参考として挙げられており、これらの項目に関して、回答を行なうことで、全社的な統制の状況が明らかになります。尚、この42項目は、COSOフレームワークの「内部統制の構成要素」にそってグループ化されています。
　※内部統制の構成要素：統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応

IT全般統制

　業務処理統制において情報システム（IT）は「統制手段」でありますが、そもそもITが正しく利用されているかについて、「ITの開発、保守に係る管理」「システムの運用・管理」「内外からのアクセス管理などシステムの安全性の確保」「外部委託に関する契約の管理」の四つの視点から統制を行なうのが「IT全般統制」です。つまり、IT全般統制においては、情報システム（IT）は「統制対象」といえます。企業では、この「IT全般統制」を体系だって構築するために、やはり「枠組み」を利用することが有効で、多くの場合にはCOBITが参考とされています。
※COBIT：Control Objectives for Information and related Technology
※[図３]にIT全般統制の全体図を図示

　IT全般統制の文書化としては、業務処理統制と同様に３点セットを作成する企業と、３点セットに関しては必要最小限にとどめる企業があります。それぞれの企業方針、現状での対応限界、そして監査法人の見解が異なるといったことが、この対応の違いを生んでいる様に思われます。

IT全般統制において、具体的に監査法人が企業に望む対応内容（チェックポイント）としては、次の様な項目が上げられています。

① 個人毎のユーザID／パスワードの設定が正当に行なわれていることの証明
② パスワードの強度確保策（複雑性、定期的な強制変更の仕組みなど）が施されていることの証明
③ 情報システムの開発／運用に関わる要員間の職務分掌が適切に行なわれていることの証明
④ アプリケーションにおける特権IDの付与／モニタリングが十分に行なわれていることの証明
⑤ プログラムの変更に関わる作業実施の明確なプロセス化、文書による承認の実施
⑥ 本番環境へのプログラム登録に際しての担当者の妥当性の確認
⑦ データの直接修正時の適切な管理者による文書の承認

□　国際会計基準（IFRS：International Financial Reporting Standards）

IT全般統制

　国際会計基準（IFRS）の企業導入は、J-SOX対応の視点から考えると、その対象となる業務プロセスに変更が発生するということになります。但し、それは必ずしも内部統制の整備と運用において、大きな変化を生じさせるものではありません。先ずは、国際会計基準の（IFRS）の企業導入に関する影響度をきちんと理解し、業務プロセス面で、これまでの差異を明らかにし、その上で、内部統制への影響を点検するということになります。
国際会計基準（IFRS）への対応の流れを、［図４］にまとめてみました。

先ずはこの新しい会計基準の概要をつかみ、次いで個別論点を理解する。その上で、自社の会計業務での適用をより具体的に案出する。そして、ここまでを固めた後に、関連する業務プロセスの見直しを行い、漸くその後に「内部統制の点検」を行う。そんな流れになるものと考えられます。
国際会計基準の主要な個別論点としては、「決算・開示」（決算業務）、「収益認識」（販売業務、生産管理業務など）、「固定資産」（固定資産管理業務）が上げられており、内部統制の整備と運用において、その影響が考えられるのも、この周辺の業務ということになりそうです。
全社的な統制、IT全般統制に関しては、基本的な企業ガバナンスの変更、基幹業務に関する情報システムの全面的な入れ替えといったことが起きない限り、大きな見直しは発生しないものと思われます。

□　国際会計基準（IFRS：International Financial Reporting Standards）

IT全般統制

　業務処理統制への対応として企業が整備した文書（３点セットなど）は、国際会計基準の企業適用において、現行業務との差異を確認するに際して、有効に活用することが可能です。また、情報システムは、J-SOX対応に際して、一度棚卸を終えた状況になっていることから、国際会計基準への対応検討を行なうに際しても、情報システムへの影響を明らかにするための有力な手掛かりとなります。

　次回は、国際会計基準の主要な個別論点（決算、開示、収益認識、固定資産管理など）の視点から、内部統制対応において影響が発生するものと思われる具体的を変更内容について検討を試みます。