本年4月から制度が始まったＪ−ＳＯＸ。本番初年度における各社の対応状況や、進捗状況は実に様々であり、実務の場では、特にリソースに余裕の無い中小規模の上場企業は対応に苦慮しているようだ。

　

　一方、研究のテーマとしては2年目以降を睨んだ「After J-SOX」が話題に上がっている。

即ち、日本版SOX法（J-SOX）対応後の企業経営を考える非営利団体「After J-SOX研究会」が昨年11月26日、発足した。

After J-SOX研究会が発足、「内部統制の次の一手は連結経営」

これは、現在、上場企業やその連結子会社が整備・運用している内部統制を、「企業価値向上としてとらえるための施策を研究する」（アビームコンサルティングの永井孝一郎プリンシパル）のが狙いだ。連結経営やERM（エンタープライズ・リスク・マネジメント）を研究テーマに掲げている。  

以下に、最近まで、掲載された【After J-SOX 〜 真の「企業価値向上」を考える】シリーズ を紹介する。 　　　

　　　第5回 J-SOX対応の運用効率化とコスト削減を考える

　　　第4回 「内部統制成熟度モデル」を提案する

　　　第3回 「企業価値を高める」とはどういうことか

　　　第2回 After J-SOXを模索する企業の意識と課題

　　　第1回 J-SOX対応を企業価値向上の契機に

　２００8年度　第1回近畿地区システム監査研究会で、弊社代表が下記の講演を実施しました。

                                                 (画像クリックで拡大）

記

１．日時：平成２０年４月１９日（土）１５：００〜１７：００

２．場所：大阪大学中之島センター講義室　　　　　　　　　

３．発表内容　

・テーマ　：「内部統制の有効性の評価(監査）と不備の是正」

・概要　　：Ｊ-SOX初年度における効率的評価（監査）方法の必要性について、

　　　　　　コンサルと監査の両方の経験から、事例を挙げて説明する

 １.　ＪーＳＯＸ制度の動向と各社の状況 

２．内部統制の有効性の評価方法　

３. 内部部統制の外部監査　

４．内部統制監査の特徴（システム監査と比較して）

５.効率的評価(監査）の必要性と経営者への助言

・発表者　：後藤 知久（兵法マネジメント塾　代表、会計システム専門監査人）　

・発表内容(例示）　　画像クリックで拡大します。

■効率的評価(監査）のためのＳＯＸ対応戦略

　　Ｊ−ＳＯＸによる規制環境の変化（民主導型から官主導型運営へ）に伴い、

外部監査人の立場は「企業との距離を置こうとする」ように大きく変わります。 

　 従って、外部監査人との関係をどのように保つかは、ＳＯＸ対応戦略

を練る上で極めて重要な鍵となります。 

外部監査人の立場を正しく理解･尊重し、彼らが納得しやすいような形

を意識してＳＯＸ対応業務を計画することが重要です。

なお、その際、Ｊ−ＳＯＸでは評価方針を決めて説明する責任は経営者側

にあることを忘れてはなりません。

　従って、経営者自らの知見で内部統制の評価範囲や、評価方法を検討し

外部監査人が納得できる合意点を積極的に求める

必要があります。例えば、評価範囲については、監

査側と経営者で左図（画像クリックで拡大）のような違い

があることを考慮して「経営者側の評価範囲」を検討する事がボタンを掛

け違わないために必須となります。

 故に兵は、彼を知り己を知れば、百戦殆う（あや）うからず。

　　　　　　　　　　　　　　　　･･･孫子<第三篇 謀攻> 

ついにJ-SoX本番年度に突入してしまいました。

 とはいえ、まだまだIT全般統制の整備がスムーズに終わっていない、または監査人やコンサルから会社の実態に照らして非現実的な要求を突きつけられて途方にくれている会社も中にはあるのではないかと思います。

そんな中、日本公認会計士協会からIT委員会研究報告第31号「ＩＴ委員会報告第３号「財務諸表監査における情報技術（ＩＴ）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Ｑ＆Ａ」の改訂版が公表されました。 

 無名の会計士さん」のプログに掲載された公開内容についての解説の冒頭文です。

以下の様にわかり易く解説にされています。

　これはあくまで財務諸表監査において監査人がITに係る統制リスクを評価する場合に適用される考え方ではありますが、J-SoXにおいて経営者がIT全般統制をどこまで整備すれば有効といえるのかを考える際に参考になるものと思われます。不慣れな会計士がチェックリストで機械的に「IT全般統制の不備」として扱おうとした場合に、会社の実態を考えた場合に経営者としてどのように対処すべきかという点からも参考になります。

特筆すべきは、「全般統制に不備がある場合の取扱いの考え方の例示」が示された点です。

冒頭で、「全般統制に不備があるとして指摘をする際には、そのシステムの状況や実際に財務諸表の数値にどのような影響があるかを考慮して意見を述べることが肝要です。」と述べています。経営者がIT全般統制の評価を行う場合にも、同じことがいえると思います。

金融庁からいきなり　「内部統制報告制度に関する11の誤解」　なるものが公表されました。

 　この、公表結果について私がよく参照している、無名の公認会計士さんのプログ「XBRLと内部統制、J-SoX」にコメントされています。公表内容よりこのコメント内容が参考になります。

http://bcj.way-nifty.com/xbrl/

 ちなみに、11項目とは以下のことです。

　　１．米国SOX法と同じか　

　　２．特別な文書化が必要か

　　３．すべての業務に内部統制が必要か

　　４．中小企業でも大がかりな対応が必要か

　　５．問題があると罰則等の対象になるのか

　　６．監査人等の指摘には必ず従うべきか　

　　７．監査コストは倍増するのか　　

　　８．非上場の取引先も内部統制の整備が必要か

　　９．プロジェクトチーム等がないと問題か

　　１０．適用日までに準備を完了する必要があるのか

　　１１．期末のシステム変更等は延期が必要か

 その後、2008年3月18日 に再び「内部統制報告制度に関する11の誤解」ネタで

批評されています。

http://bcj.way-nifty.com/xbrl/2008/03/11_56c7.html

　この批評内容を読むと、現在の会社経営者、監査法人、金融庁の置かれた立場や

それ故に生じている3者間の溝が見えてくるようです。　　　　　　　　

以下は2008/01/21, 日経ＭＪ（流通新聞）, 1ページ, 有, 697文字 に掲載された記事の要約である。

ＳＯＸ法対応大わらわ、４月適用まで秒読み――幅広い業種に商機、市場規模１兆円超。
画像はこちら

「内部統制報告制度に関するＱ＆Ａ」が、10月1日付けで公表されており、すでに主要なブログでコメントがされている。
　その内、特に丸山満彦氏の以下のブログが詳しいので紹介する。
　「まるちゃんの情報セキュリティ気まぐれ日記 」　

　前回に引き続いて、IBM ビジネスコンサルティング サービスによる連載記事「内部統制.JP」の内、今回は後半の４回〜６回(最終回）を紹介する。

第４回　内部統制におけるERPのメリットと誤解
　SOX法対応という観点でERPのさまざまな内部統制機能を紹介した上で、米国における「ERPのを内部統制の観点からの見直すという動きが広がり｣を紹介している。
　特に「ERPの設定の多くは、ビジネスニーズから来ており、必ずしもコントロールニーズを重視していない例が多かった。」ことを統制機能見直しのポイントとして強調している。

第５回　ERPによるIT業務処理統制を見直す
　ERPを利用したIT業務処理統制を見直す場合、その切り口は四つある。それらを具体的に説明するとともに、見直しから導かれるコントロール要件とERP追加設定の検討について解説している。

最終回　ERPの監査機能をベースに検討する
　ERPには、監査向けの帳票出力機能やデータ変更履歴の保持機能を備えている。これらの活用方法を検討するとともに、“運用後”を見据えたアプリケーション選定について解説している。

標記の見出しのIBM ビジネスコンサルティング サービスによる連載記事が「内部統制.JP」に６回に渡って掲載されている。
　その内１回〜３回までを以下に紹介する。

　第１回　財務諸表の信頼性確保を支えるIT
　財務諸表の信頼性を評価する切り口として良く出てくる「財務アサーション」はなかなか理解しづらい概念であるが、この記事では、「財務アサーションとＩＴコントロール目標」についてわかりやすく整理されている。


　第２回 「IT業務処理統制」とは何か
　財務諸表の信頼性を確保するには、リスクの洗い出しやコントロールの定義、定期的なテスト・検証などが求められる。ITは業務処理統制の一手段として、財務諸表の信頼性を確保する有力な手段となる。
　この記事ではまず�@業務処理統制の中でのITの位置づけについて述べた後、�AIT業務処理統制とITコントロール目標についてわかりやすく解説している。


　第３回 手作業による統制とIT業務処理統制
　業務処理統制は、手作業による統制とIT業務処理統制の両方が機能して、はじめて意味を持つ。この記事では、手作業による統制とIT業務処理統制の具体例を紹介している。
　

　日本公認会計士協会（JICPA）は7月18日、日本版SOX法（J-SOX）の監査人向け実務指針（ガイドライン）の草案を公開した。金融庁が2月15日に公表した日本版SOX法の実務指針「実施基準」（詳細は『内部統制.jp』を参照）には明記されていなかった、スプレッド・シート（表計算ソフト）の評価について言及したことが特徴だ。
　IT全般統制やIT業務処理統制についての言及もあるが、実施基準以上に詳細な記述はない。

上記は内部統制．JPサイトに掲載された記事『J-SOX監査人向け指針の草案公開、「スプレッド・シート統制」に言及』の冒頭文である、詳細は当該記事を参照されたい。

　ただし、上記の、「スプレッド・シート統制」に関する記載はあくまでも公開草案であり、最終的なものではないので留意する必要がある。例えば、前回紹介した「スプレッドシート統制　研究室」では『日本公認会計士協会の「公開草案」へのコメント』で６つの問題点を具体的に指摘している。

　その内、例えば２番目の問題点を引用すると

問題点2: 決算・財務報告プロセスへの限定
スプレッドシート統制に関する記述が、「(3) 決算・財務報告プロセス」に配置されているため、スプレッドシートを利用する業務を統制対象とする内部統制及びその評価の必要性を、「決算・財務報告プロセス」に限定すると解釈される恐れがあります。　

…中略…

実際には、スプレッドシートは、「決算・財務報告プロセス」以外の業務プロセスでも用いられ、その中には、財務報告の信頼性に影響を与えるものが在り得ます。

従って、「決算・財務報告プロセス」に限定せず、財務報告の信頼性に影響する「スプレッドシート取扱業務」を対象範囲として、経営者による統制評価を如何に監査すべきかを示すべきではないでしょうか。

そして【後　記】で以下のように結んでいる。

■スプレッドシート統制に関する指針は、「公開草案」が示すべき実務指針のごく一部であることは明らかです。上述の問題点の解消に当たっては、他の指針とのバランスや整合を考慮しなければなりません。
■スプレッドシート統制に関する詳細な指針が必要であれぱ、JICPA発行のIT報告等の別紙で、詳細指針を示す必要があるかも知れません。

１．IT統制ガイダンスにおけるスプレッドシート等の管理
　スプレッドシート等の管理について、経済産業省「システム管理基準 追補版（財務報告に係るIT統制ガイダンス）平成19年３月30日版」（以下、IT統制ガイダンスという）の2.IT統制項
目の（３）IT業務処理統制の�Cに概論が述べられています。

（１）IT統制ガイダンスでの指摘事項
　多くの企業において、スプレッドシート等がユーザ部門によって使用されている。
このようなスプレッドシート等は、利用者のPC の中でのみ利用されるため、全社的な管
理から漏れていることがある。例えば、スプレッドシートや作成されたデータのバックアップが十分になされていないために、データを滅失するようなこともある。
　また、会計処理の結果をスプレッドシート等から出力し、別のアプリケーション・システムにこのデータを読み込み、財務報告を作成する場合もあり、データの欠落や改ざん等のリスクがある。

（２）経営者への要求
　経営者は、スプレッドシート等を利用する場合には、データや処理の正確性を確保するために
�@当事者以外による再計算等の手続を整備したり、
�A利用者に対するスプレッドシート等のバックアップについて教育　するとよい。
また、スプレッドシート等の内容をアプリケーション・システムで利用する場合には、
�Bデータの欠落や改ざんを防止するような機能が組み込まれているか確認するとよい。

経営者は、虚偽表示のリスク、対策のコスト、統制の効果等を勘案して、自社に適した方法を選択する必要がある。
------------------------------------------------------------
２．「スプレッドシート統制 研究室」の紹介

「Excel に関する内部統制は、どうすればよいのか？」　スプレッドシート統制の要件、統制・評価の手法、IT統制の手段、事例等を研究するサイトがあるので紹介する。
以下はサイトの管理人のメッセージである。

内部統制は、様々な観点を必要とする高度な経営課題です。スプレッドシート統制も、多くの独自の性質に対して、他の統制と同様の原則に基づき、リスク応分の統制方針を一貫させなければならない難題です。

この難題への対処に、様々な分野での知識と経験、異なる立場からの視点をインターネット上で融合させましょう。利用者の皆様と管理人が、相互に、以下のメリットを享受できる場を作って行きましょう。
・基本的な知見を獲得する際の重複した手間を省き、より具体的な問題の解決に割く時間を確保する。
・各自の抱える具体的な問題に関する検討に、当該問題に通じた第三者から示唆を得る。

ITPRO のサイトで
内部統制実践セミナー･･･実施基準案を踏まえた取り組みのポイント･･･との副題で著名な講師による講演内容が掲載されているので、以下に紹介します。

Vol1　見切り発車にならないための内部統制対応

　

まずは「内部統制は監査のためにあるのではない」ということをしっかりと理解し，監査のための統制活動ではなく，自社の業務上のリスクの見える化を図り，それをしっかりと統制して，その結果を監査に委ねるという，内部統制本来のあり方を目指すべきなのです。

例えば、文書化は監査のためにするのではなく，それぞれ目的があることを念頭において取り組まなければならない

。

Vol2　横河電機グループにおける内部統制の取り組み事例

とりわけ重要だと感じているのは，まず全社的な内部統制評価をしっかりと行うということです。このことは，単に監査上の観点からだけではなく，今回の法制度を経営改善に向けて効果的に活かしていく上での重要なポイントになると思います。

という文面で結んでいる。

Vol3
・COBITの内部統制への適用
・システム管理基準追補版について
・IT統制の整備状況および運用状況の評価

企業は日本版SOX法（金融商品取引法）を契機に、内部統制の整備に本格的に取り組み始めた。
金融庁企業会計審議会委員・内部統制部会長を務めた青山学院大学大学院会計プロフェッション研究科教授の八田進二氏は、日本版SOX法によって「経営者に意識改革を迫る」と語る。また、一人歩きがちのIT業界の誤解のある内部統制議論に釘を刺した。

ＪーＳＯＸ基準で「ITへの対応」を強調した趣旨は、経営トップに企業の内外で進展しているIT環境に留意してもらいたいということが基本であり、「ITなき内部統制はない」などと勝手な解釈を一人歩きさせている「IT業界」にも警告を発している。

内部統制部会長八田氏インタビュー：「日本の経営者は何をやってきたのか」参照

　実施基準に記載されている「ITへの対応」を整理すると、以下のとおりである。（図クリックで拡大）

　また、「ITへの対応」を「IT環境への対応」、「ITの利用」および、「IT統制」に分け、それぞれの具体例でわかり易くしたものが下図である。（図クリックで拡大）

　IT部門の役割は大きく二つある。一つは「ITの統制」を整備することだ。実施基準案の「I．内部統制の基本的枠組み」の15ページ「IT（情報技術）への対応」中に記載されている。

　IT部門にまず求められるのが、「組織の状況に応じた、適切なITの利用及び統制を図るために、組織を取り巻くIT環境を理解すること」である。
　その理解に基づき、財務報告の信頼性を確保するためのIT統制を整備する。具体的には、財務報告の信頼性に影響を与えるリスクを十分に低減する統制が施されているかどうかを確認し、必要ならばそれを改善する。この過程で「文書化」の作業が発生する。
　
　もう一つの役割は、IT統制の評価支援である。評価においては、評価主体が「評価の対象となる業務から独立し、客観性を保つこと（「II．財務報告に係る内部統制の評価及び報告」の11ページ）」が求められる。IT部門が直接的に関与するケースは少ないと言えるが、一般に、企業内においてIT統制を評価できる人材には限りがある。IT部門が何らかの形でIT統制の評価を支援する役割を担うケースが多いはずだ。

3月30日付けで、以下の案件が経済産業省のサイトに掲載されました。

「システム管理基準 追補版(財務報告に係るIT統制ガイダンス）」の公表について
http://www.meti.go.jp/press/20070330002/20070330002.html

発表資料名は以下の３種 ：

1.「システム管理基準 追補版(財務報告に係るIT統制ｶﾞｲﾀﾞﾝｽ）」　の公表について(PDF形式：100KB)

2. システム管理基準 追補版(財務報告に係るIT統制ｶﾞｲﾀﾞﾝｽ）(PDF　　形式：2,529KB)

3. 概要版(PDF形式：203KB)

日本版ＳＯＸ法への対応を超えて、企業価値を向上させていく為には、企業はビジネス・プロセスの改革による企業効率の向上という最終目標を設定し、その達成のためのプロジェクトを計画し、組織し、効果的、効率的に実行していかねばならない。そしてその手順のなかに当面の課題となる日本版ＳＯＸ法への対応を位置づける必要がある。　
以下にビジネス・プロセス変革による企業経営効率化へのロードマップ（図クリックで拡大）を示す。
１．企業目標と企業戦略の見直し
　　バランス・スコアカードの考え方を適用する。
２．プロジェクトチームの編成
３．基本計画の策定
４．教育・研修
　●企業目標、プロジェクトの意義、各部門の役割などについての経営幹部、プロジェクトメンバーが共通の理解をもつための教育
　●同様の点について従業員に対する教育
５．ＥＲＭ（エンタープライズ・リスクマネジメント）の実践
　 (1)ビジネス・プロセスの見直しとプロセスの目標設定
　 　　バランス・スコアカードの考え方を適用する。　
　 (2)目標に対するリスクと機会の洗い出し
　 　　ＥＲＭでは、企業経営においてリスクをある程度とらなければ、事業機会を得ることはできないという考え方をとる。
　　(3)リスクの評価
　 　

日本版ＳＯＸ法に関しては、「財務報告に係る内部統制」の構築のための範囲、統制項目の絞込みをすることになる。

　　(4)リスクへの対応
　　　 ■リスクの受け入れ
　　　 ■リスクの移転
　　　 ■リスクの回避
　　　 の範疇にリスクを分類して対応する。
　　　 この際、経営責任者、経営陣のリスク選好度がリスク受容の大きな基準となる
　 (5)リスクを抑制する仕組み（内部統制）の構築　
　　　

日本版ＳＯＸ法の要求する「財務報告に係る内部統制」の構築のために絞り込まれた内部統制の範囲、統制項目について文書化の作業が行なわれる。

６．モニタリング

日本版ＳＯＸ法に関していえば構築された「財務報告に係る内部統制」の経営者による評価である。

　トップページで、企業価値を高めるためには、J-SOX対応のみでは不十分でＥＲＭ（全社的リスクマネジメント）の視点が必要であることを記述した。
　これについて、説明する代わりに、適当な資料が見つかったので以下に紹介する。

　野村総合研究所のIT マネジメントコンサルティング部長　淀川高貴氏の論文である。
　
　・企業価値を高める究極の IT 基盤整備　
　

１．基本的計画及び方針の決定

経営者は、内部統制の基本方針に係る取締役会の決定を踏まえ、財務報告に係る内部統制を組織内の全社的なレベル及び業務プロセスのレベルにおいて実施するための基本的計画及び方針を決定 ※経営者が定めるべき基本的計画及び方針としては、以下が挙げられる。 �@　構築すべき内部統制の方針・原則、範囲及び水準 �A　内部統制の構築に当たる責任者及び全社的な管理体制 �B　内部統制構築の手順及び日程 �C　内部統制構築に係る人員及びその編成、教育・訓練の方法 等

２．内部統制の整備状況の把握

内部統制の整備状況を把握し、その結果を記録・保存 �@　全社的な内部統制について、既存の内部統制に関する規程、慣行及びその遵守状況等を踏まえ、全社的な内部統制の整備状況を把握し、記録・保存。 ※暗黙裡に実施されている社内の決まり事等がある場合には、それを明文化。 �A　重要な業務プロセスについて、内部統制の整備状況を把握し、記録・保存。 ・組織の重要な業務プロセスについて、取引の流れ、会計処理の過程を整理し、理解する。 ・整理、理解した業務プロセスについて、虚偽記載の発生するリスクを識別し、それらリスクの財務報告又は勘定科目等との関連性、業務の中に組み込まれた内部統制によって十分に低減できるものになっているかを検討。

３．把握された不備への対応及び是正

把握された不備は適切に是正。

●内部統制は、基本的に、企業等の４つの目的（�@業務の有効性及び効率性、�A財務報告の信頼性、�B事業活動に関わる法令等の遵守、�C資産の保全）の達成のために企業内のすべての者によって遂行されるプロセスである。
●内部統制はの６つの基本的要素のうち、財務報告の信頼性を確保するための内部統制を「財務報告に係る内部統制」と定義する。
●本基準では、「財務報告に係る内部統制」の有効性について経営者による評価及び公認会計士等による監査を実施する際の方法及び手続についての考え方を示している。
●内部統制の基本的要素に関しても、ＣＯＳＯ報告書公表後のＩＴ環境の飛躍的進展により、ＩＴが組織に浸透した現状に即して「ＩＴへの対応」を基本的要素の１つに加えている。
●内部統制の４つの目的は相互に関連を有しており、企業等は、内部統制を整備・運用することにより、４つの目的を達成していくことになる。
●財務報告の信頼性との関係からみると、経営者は、自社のすべての活動及び社内のすべての従業員等の行動を把握することは困難であり、それに代わって、経営者は、企業内に有効な内部統制のシステムを整備・運用することにより、財務報告における記載内容の適正性を担保することとなる。
●経営者には、内部統制の基本的要素が組み込まれたプロセスを構築し、それを適切に機能させていくことが求められている。このため、単に内部統制を整備するだけでなく、それを意図していたように機能させていくことが重要となる。
●なお、具体的に内部統制をどのように整備し、運用するかは、個々の企業等が置かれた環境や事業の特性、規模等によって異なるものであり、一律に示すことは適切でない。経営者には、それぞれの企業の状況等に応じて、内部統制の機能と役割が効果的に達成されるよう、自ら適切に工夫を行っていくことが期待される。

　２月１５日に金融庁から確定版として発表された、「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」に記載されている実施基準の主な内容は以下のとおりである。

（１）内部統制の基本的枠組み
　実施基準においては、基準に示された内部統制の４つの目的と６つの基本的要素のそれぞれについて、詳細な説明を加えている。また、内部統制の基本的な枠組みを踏まえて、内部統制報告制度の導入に向けた準備を進める企業等の参考に資するよう、財務報告に係る内部統制構築の要点を示すとともに、一般的な手続としての財務報告に係る内部統制構築のプロセスを例示した。

（２）財務報告に係る内部統制の評価及び報告
�@ 全社的な内部統制の評価項目
　実施基準においては、全社的な内部統制の評価に関して具体的な評価項目を例示し、各企業等が適宜活用できることとした。
�A 業務プロセスに係る内部統制の評価範囲
　業務プロセスに係る内部統制の評価に関しては、既述したトップダウン型のリスク・アプローチの考え方に基づく評価が適切に行われるよう、評価範囲の決定について、絞り込みの方法を具体的に示している。例えば、売上高等の指標を用いて、金額の高い拠点から合算し、全体の概ね３分の２程度に達するまでの拠点を重要な拠点として選定することとした。一般的な事業会社の場合、これらの重要な事業拠点における３つの勘定科目（売上、売掛金及び棚卸資産）に至る業務プロセスは、原則として評価対象となる。その上で、財務報告への影響を勘案して、重要性の大きい業務プロセスが他にある場合には、これらを個別に評価対象として追加することで適切な評価範囲を決定することとした。
�B 監査人との協議
　監査人が、経営者の決定した評価範囲の妥当性を検討した結果、それが適切でないと判断した場合、経営者が新たな評価範囲について、業務プロセスに係る内部統制の有効性を評価し直すことは、時間的な制約等から困難となることが想定される。
このため、実施基準では、評価範囲について、経営者が評価範囲を決定した時点で、必要に応じて監査人と事前に協議しておくことが適切であるとした。
�C 重要な欠陥の判断指針
　内部統制の不備のうち、重要な欠陥については、内部統制報告書において開示する必要があるが、内部統制の不備が重要な欠陥に該当するかどうかを判断する際には、不備の金額的重要性及び質的重要性を勘案して判断することとし、金額的重要性について、その判断基準を具体的に例示した。
�D 評価手続等の記録及び保存
　内部統制の評価に係る記録の形式、方法等について、企業の作成・使用している記録等を適宜、利用し、必要に応じそれに補足を行っていくことで足りることを明示した。

（３）財務報告に係る内部統制の監査
　既述のとおり内部統制監査は、原則として、財務諸表監査と同一の監査人が実施することとされており、実施基準では、内部統制監査に係る監査計画について、財務諸表監査に係る監査計画と一体的に策定するとともに、それぞれの監査で得られた監査証拠は相互に利用可能であることを明示した。　

（４）公認会計士等による検証の水準とコスト負担の考慮
　内部統制に係る監査人による検証は、信頼し得る財務諸表作成の前提であると同時に、効果的かつ効率的な財務諸表監査の実施を支える経営者による内部統制の有効性の評価について検証を行うものである。また、この検証は、財務諸表監査の深度ある効率的実施を担保するためにも財務諸表の監査と一体となって行われるが、同一の監査人が、財務諸表監査と異なる水準の保証を得るために異なる手続や証拠の収集等を行うことは適当でないのみならず、同一の監査証拠を利用する際にも、保証の水準の違いから異なる判断が導き出されることは、かえって両者の監査手続を煩雑なものとすることになる。これらのことから、内部統制の有効性の評価についての検証は、「監査」の水準とすることとした。
　ただし、具体的な「監査」手続等の内容を検討するに当たっては、監査人のみならず、財務諸表作成者その他の関係者にとって過度の負担にならないように留意する必要がある。
　このため、経営者による評価及び監査人による監査の基準の策定に当たっては、評価・監査に係るコスト負担が過大なものとならないよう、先行して制度が導入された米国における運用の状況等も検証し、具体的に以下の方策を講ずることとした。
�@ トップダウン型のリスク・アプローチの活用
　経営者は、内部統制の有効性の評価に当たって、まず、連結ベースでの全社的な内部統制の評価を行い、その結果を踏まえて、財務報告に係る重大な虚偽記載につながるリスクに着眼して、必要な範囲で業務プロセスに係る内部統制を評価することとした。
�A 内部統制の不備の区分
　本基準では、内部統制の不備を、財務報告に与える影響に応じ「重要な欠陥」と「不備」との２つに区分することとした。米国では不備を「重要な欠陥」「重大な不備」「軽微な不備」の３つに区分していることから、財務報告への影響等についての評価手続がより複雑なものになっているとの指摘がある。
�B ダイレクト・レポーティングの不採用
　監査人は、経営者が実施した内部統制の評価について監査を実施し、米国で併用されているダイレクト・レポーティング（直接報告業務）は採用しないこととした。この結果、監査人は、経営者の評価結果を監査するための監査手続の実施と監査証拠等の入手を行うこととなる。
�C 内部統制監査と財務諸表監査の一体的実施
　内部統制監査は、財務諸表監査と同一の監査人が実施することとした。これにより、内部統制監査で得られた監査証拠及び財務諸表監査で得られた監査証拠は双方で利用することが可能となり、効果的かつ効率的な監査の実施が期待できる。
�D 内部統制監査報告書と財務諸表監査報告書の一体的作成
　内部統制監査報告書については、財務諸表監査報告書と合わせて記載することを原則とした。
�E 監査人と監査役・内部監査人との連携
　監査人は、監査役などの監視部門と適切に連携し、必要に応じ、内部監査人の業務等を適切に利用できることとした。
なお、監査役等は、独立した立場で経営者の職務の執行について業務監査の責務を担っていることから、企業等の内部統制に係る監査を業務監査として行うとともに、大会社等においては、監査役等が会計監査人が計算書類について実施した会計監査の方法と結果の相当性を評価することとされている。
　一方、本基準で示す内部統制の監査において、監査人は、監査役が行った業務監査の中身自体を検討するものではないが、財務報告に係る全社的な内部統制の評価の妥当性を検討するに当たり、監査役等の活動を含めた経営レベルの内部統制の整備及び運用状況を統制環境等の一部として考慮することとなる。

（３）財務報告に係る内部統制の監査　
　経営者による財務報告に係る内部統制の有効性の評価は、その評価結果が適正であるかどうかについて、当該企業等の財務諸表の監査を行っている公認会計士等（以下「監査人」という。）が監査することによって担保される。
　内部統制監査と財務諸表監査が一体となって行われることにより、同一の監査証拠を双方で利用するなど効果的でかつ効率的な監査が実施されるよう、内部統制監査は、当該企業の財務諸表監査に係る監査人と同一の監査人(監査事務所のみならず、業務執行社員も同一であることを求めている。)が実施することとした。
　監査人は、企業の置かれた環境等を踏まえ、経営者による内部統制の整備並びに運用状況及び評価の状況を十分に理解し、監査上の重要性を勘案して監査計画を策定する。また、監査人は、経営者による内部統制の評価の結果を監査することから、まず、経営者により決定された評価範囲の妥当性を検討し、次いで、経営者が評価を行った全社的な評価及び全社的な評価に基づく業務プロセスに係る内部統制の評価について検討する。
　監査人は、経営者による財務報告に係る内部統制の有効性の評価に対する意見等を「内部統制監査報告書」として作成し報告するが、同報告書は、原則として、財務諸表監査における監査報告書と合わせて記載することとした。

（２）財務報告に係る内部統制の評価及び報告
　経営者は、内部統制を整備・運用する役割と責任を有しており、財務報告に係る内部統制については、その有効性を自ら評価しその結果を外部に向けて報告することが求められる。
　この評価は、財務報告の信頼性に及ぼす影響の重要性の観点から必要な範囲において行うものであり、この評価範囲は、財務報告に対する金額的及び質的影響の重要性を考慮して、合理的に決定することとした。これにより、例えば、重要性の乏しい勘定科目又は重要性の乏しい子会社若しくは関連会社などは評価の対象とする必要はない。
　経営者が、内部統制の有効性を評価するに当たっては、まず、連結ベースでの財務報告全体に重要な影響を及ぼす内部統制（以下「全社的な内部統制」という。）について評価を行い、その結果を踏まえて、業務プロセスに係る内部統制について評価することとしている。これは、適切な統制が全社的に機能しているかどうかについて、まず心証を得た上で、それに基づき、財務報告に係る重大な虚偽記載につながるリスクに着眼して業務プロセスに係る内部統制を評価していくという、トップダウン型のリスク重視のアプローチを採用するものである。
　経営者は、「内部統制報告書」を作成し、財務報告に係る内部統制の有効性の評価結果等を記載することとした。

　２月１５日に金融庁から確定版として発表された、「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」に記載されている基準の主な内容は以下のとおりである。
（１）内部統制の基本的枠組み
　内部統制は、基本的に、企業等の４つの目的（�@業務の有効性及び効率性、�A財務報告の信頼性、�B事業活動に関わる法令等の遵守、�C資産の保全）の達成のために企業内のすべての者によって遂行されるプロセスであり、６つの基本的要素（�@統制環境、�Aリスクの評価と対応、�B統制活動、�C情報と伝達、�Dモニタリング、�EＩＴへの対応）から構成される。このうち、財務報告の信頼性を確保するための内部統制を「財務報告に係る内部統制」と定義し、本基準では、この有効性について経営者による評価及び公認会計士等による監査を実施する際の方法及び手続についての考え方を示している。
　国際的な内部統制の枠組みとして、米国のＣＯＳＯ（トレッドウェイ委員会支援組織委員会）の内部統制の基本的枠組みに関する報告書（以下「ＣＯＳＯ報告書」という。）などがあるが、本基準においては、国際的な内部統制議論がＣＯＳＯ報告書をベースとしていることにかんがみ、ＣＯＳＯ報告書の枠組みを基本的に踏襲しつつも、我が国の実情を反映し、ＣＯＳＯ報告書の３つの目的と５つの構成要素にそれぞれ１つずつ加え、４つの目的と６つの基本的要素としている。
　すなわち、内部統制の目的に関して、我が国においては、資産の取得、使用及び処分が正当な手続及び承認のもとに行われることが重要であることから、独立させて１つの目的として明示した。
　また、内部統制の基本的要素に関しても、ＣＯＳＯ報告書公表後のＩＴ環境の飛躍的進展により、ＩＴが組織に浸透した現状に即して「ＩＴへの対応」を基本的要素の１つに加えている。
　なお、ＣＯＳＯ報告書の構成要素という用語を基本的要素としているのは、これらの要素は例示であることを明確にしたものである。
　上記の内部統制の４つの目的は相互に関連を有しており、企業等は、内部統制を整備・運用することにより、４つの目的を達成していくことになる。財務報告の信頼性との関係からみると、経営者は、自社のすべての活動及び社内のすべての従業員等の行動を把握することは困難であり、それに代わって、経営者は、企業内に有効な内部統制のシステムを整備・運用することにより、財務報告における記載内容の適正性を担保することとなる。
　また、内部統制システムの整備・運用を通じて財務報告の信頼性を確保していくことは、業務の有効性及び効率性の確保による情報処理コストの削減、さらには、市場における資金調達機会の拡大や資金調達コストの削減等を通じて一定のメリットを企業等にもたらすこととなる。
　経営者には、内部統制の基本的要素が組み込まれたプロセスを構築し、それを適切に機能させていくことが求められている。このため、単に内部統制を整備するだけでなく、それを意図していたように機能させていくことが重要となる。　
　なお、具体的に内部統制をどのように整備し、運用するかは、個々の企業等が置かれた環境や事業の特性、規模等によって異なるものであり、一律に示すことは適切でない。経営者には、それぞれの企業の状況等に応じて、内部統制の機能と役割が効果的に達成されるよう、自ら適切に工夫を行っていくことが期待される。　　　　　　　　　　　　　　　　　　　

財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）
が企業会計審議会から公表されました。

微修正された基準とともに、公開草案として公表されていた、いわゆる実施基準が確定したわけです。

　1月31日、金融庁で企業会計審議会内部統制部会が開かれ、当日の議事次第とともに、「実施基準」の修正版が金融庁のホームページに公表されていることは、2月3日の記事で紹介した。

　公表内容を受けて、各方面から解説記事等がいろいろ掲載されている。

　これらの内、他のサイトをリンクして要領よくまとまっているのが、「まるちゃん」こと丸山満彦氏のプログであるので、ここではそれを紹介しておく。

実施基準公開草案の文言上の修正はわずかだったようですね。。。
　今朝の参議院の本会議でも内部統制報告制度についての質問が公明党から出されましたね。たしか、中小規模に対する適用の延長はないのかと・・・安部総理いわく、法律で決めていると・・・。

　ではじまり、いろんな記事や、記事に関するトラックバックやコメントも掲載されており、「実施基準」の動向に関心がある方には有益である。

内部統制「実施基準」──その精神とCIOの役割
　 企業会計審議会内部統制部会長・八田進二氏に聞く

要約：ポイント
■“コスト効率重視”の実施基準である。
　企業はそれぞれ規模も業種・業態も異なりますから、杓子定規にルールを当てはめることはできません。各社の経営者に裁量の余地を残すために、自由度の高い内容にすることを目指しました。
実施基準は、日本の実情に照らして合理的に受け入れられるよう、すべてを一から練り上げた“手づくりの”基準であり、米国の一連の内部統制基準とは異なるものです。
　
　我々が“軽装備”の実務対応を目指したのは、そうした米国の失敗例を逐一見てきたからだとも言えます。

■内部統制は経営そのものである
　実施基準で求めているのはあくまでもミニマム・スタンダードですから、内部統制の目的として何を掲げるのか、あるいは基本的要素にどのようなものを加えるかは企業の自由だということを忘れてほしくないですね。

■IT統制を加えた理由
・現代の企業経営にITはもはやなくてはならない存在になっているということ
・内部統制の“主役”である経営者に対して、明確なかたちで「ITに留意してほしい」というメッセージを伝えたかったということ

■内部統制とCIOの役割
　「ITへの対応」が明確に盛り込まれたことで、これからはCIOも本腰を入れて内部統制に取り組まざるをえなくなりました。
　小手先の内部統制対応にとどまることなく、企業のビジネス・モデル全体の見直しをも包含したかたちでIT活用のあり方を真剣に考える必要があります。

　1月31日、金融庁で企業会計審議会内部統制部会が開かれた。
当日の議事次第が金融庁のホームページに公表されている。

　企業会計審議会 第16回内部統制部会　議事次第　

　この中で、以下の資料が公開されている。

・日本版SOX法（金融商品取引法）の 「実施基準」に対するコメン　トの概要
・財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）

　今回、公開された資料によると、微修正は多いが、当初の公開草案から大きな変更はないようだ。
　前回記載したように、今月中には確定しそうである。

　内部統制.PJに以下の速報が掲載されている

【速報】内部統制基準2月確定へ、公開草案から大きな変更なし

いわゆる「システム管理基準forSOX」の草案が発表されました。


■【速報】経済産業省がJ-SOX向け「IT統制」の指針を公開、具体例を豊富に記載

■経済産業省（経産省）は1月19日、「システム管理基準 追補版（財務報告に係るIT統制ガイダンス）」の草案を公開した。
追補版は、システム部門向けに日本版SOX法（J-SOX）への対応に必要なIT統制の具体例を記述した文書。

　内部統制のガイドラインといえる実施基準の草案が昨年11月に公開されたが、これにより、特にＩＴ担当者にとって内部統制の対応方針や具体的な達成目標の設定ができるとはいえない。
なぜならば、前回紹介した「ＣＯＢＩＴ　for ＳＯＸ」は、確かに参考になるが、これは米ＳＯＸ法に対応するものであり、いわゆるＪ−ＳＯＸ法に対応したＩＴのフレームワークではないからだ。

　なおＪ−ＳＯＸ法に対応したＩＴのフレームワークは本年３月中に経産省が発表される予定である。これは既に２００４年１０月に発表された、システム監査・管理基準をベースにするもので、いわゆる「システム管理基準for ＳＯＸ」である。

　従って、現時点では「IT担当者のための内部統制ガイド」として鍋野 敬一郎（なべの けいいちろう）氏が記載した以下の記事が参考になるので紹介する。


・第４回やるべきことと、できること、IT全般統制への対応

・第５回IT業務処理統制の準備と対策のポイント

■日本オラクル 桜本氏に聞く
日本版SOX法「実施基準案」を読み解く−その1
2006/11/16
（３つのポイント）
１．「あくまでも枠組み。実際の基準は各企業が自ら作成してほしいという精神が息づいている」
２．言葉の定義をしっかりさせたり、COSOフレームワークを分かりやすく説明するなど、読み手を意識した基準案と評価。「例えば」などの例示も多く、「解釈の相違が出にくい」
３．そのうえで「絶対というMustの表現がない。内部統制に関するスタートとゴールは示すが、ゴールに行き着くまでの道すじや手法、スピードは企業自らが考えて、ということではないか」
　

■ベリングポイントに聞く
日本版SOX法「実施基準案」を読み解く−その2
2006/11/22
（３つのポイント）
１．実施基準案が「会社がやるべきことを具体的に示している」
２. 企業が対応すべき最低限の“ミニマムルール”を示すことで、企業が独自の判断で対応できるようにしている　⇒経営者は自分で考えることがポイント
３．監査人との協議を推奨し、監査の失敗や社内の手戻りなどを避けることに配慮している

　青山学院大学大学院 会計プロフェッション研究科教授の八田進二氏は12月5日、セミナーで講演し、金融庁の企業会計審議会 内部統制部会が11月21日に発表した金融商品取引法（いわゆる日本版SOX法）の実施基準（公開草案）のポイントを説明した。八田氏は同部会の部会長

　金融庁 内部統制部会長が「私的な立場で」説明
　　日本版SOX法「実施基準案」のポイント

　前回紹介した　J-SOX対応に役立つ「COBIT for SOX」第２版の記事では以下の出だしにより、公認会計士　深見 浩一郎氏により掲載されている。

　『米SOX法対応を実施するIT関係者は、IT統制を確立・評価する際の指針として「COBIT for SOX」を参考にすることが多い。今年4月に草案が公開された第2版では、日本版SOX法への対応を急ぐシステム部門に役立つ追加・改変がなされている。第2版の公開草案を基に、その実際を紹介する。』

　そして、本年１月５日「COBIT for SOX 2nd Edition」の日本語版がダウンロード可能になっている。

　日本版ＳＯＸ法「実施基準」の草案（以下「実施基準案」）公開後、「実施基準案」に対する解説記事が既に色々なサイトに掲載されている。

　「実施基準案」公開前も含めて、内部統制に関するまとまった解説記事は、特に内部統制．JPの「内部統制解説記事」に掲載されているので参照されたい。

　最近の記事内容は以下のとおりである。

　●日本版SOX法対応プロジェクトの進め方（第１回〜５回）
　●プロジェクト全体を通じて全般統制を意識する
　●J-SOX対応に役立つ「COBIT for SOX」第２版
　●内部統制を意識して要件定義を進める
　●内部統制を意識して情報を管理する
　●ついに公開されたJ-SOX「実施基準案」の中身とは

　企業が内部統制を整備する際の実務的なガイドラインとして大きな注目を集めていた日本版ＳＯＸ法「実施基準」の草案（以下「実施基準案」）が，昨年11月6日に公開された。

　一昨年12月の「基準案」公開から，今年6月の「金融商品取引法」成立，そして今回の「実施基準案」公表までの経緯を，ニュースで振り返る。