ITに係る業務処理統制にはどんなものがありますか

業務処理統制は，手作業によるものとITによるものがあります。ITに係る業務処理統制は，業務プロセスの中で深く意識されないことが多いため，評価対象とすべき内部統制から漏れてしまうことがあるので注意する必要があります。

Ａ　

１．ITに係る業務処理統制の種類
　一般的にITに係る業務処理統制には，コンピュータ・プログラムに組み込まれて自動化されている内部統制と人手とコンピュータ処理が一体となって機能している内部統制があります。
　人手とコンピュータ処理が一体となって機能している内部統制の代表的なものとして，アンマッチリストなどの重要な例外レポートをコンピュータが生成し，統制の担当者が当該レポートを利用して統制活動を行っているといったものがあげられます。
　一方，コンピュータ・プログラムに組み込まれて自動化されている内部統制の代表的なものとして，次のようなものがあげられます。

コントロール	内容	具体例
エディット・パリデーション・  チェック	入力内容の合理性・フォーマット・計算などをチェックする 機能	�@受注数量欄に数字以外の情報 は入力できない。 �A入力すべき項目がすべて入力されていなければ受注登録ができない。
マッチング	入力内容が，マス 夕・データ等と整合  しているかどうかをチェックする機能	�@入力した顧客コードは，顧客マスタと照合され， 顧客マスタにない顧客コードを入力することはで きない。   �A在庫がないと在庫引当が行われず出荷指示書を発行することができない。
コ　ント　ロー ル・ト　一夕 ル・チェック	情報の処理過程において入力情報の数値  項目等の合計を出力情報と照合する機能	支店の販売データが，本社に夜間パッチで送信され る際，支店側サーバはデータのヘッダ情報としてレ コード件数・合計金紋といった情報を付加する。本社サーバでは付加された情報も含んだデータを入力 情報として受信し　本社サーバ側でデータ受入時に 計算したレコード件数・合計金額と付加された情報   の一致を確認する仕様となっている。
アクセスコントロール	ID ・パスワーrにより，権限者と非権   限者を識別・認証する機能	�@ID ・パスワーﾄﾞ等により，アプリケーション・システムへのアクセス制限が行われている。 �A3ケ月でパスワードの有効期限が切れ，パスワー ド変更しないとアプリケーション・システムにア クセスすることができない。

 

なぜ株式会社でなく合同会社を設立したのですか。合同会社のメリットについて教えてください。


１．合同会社（LLC：Limited Liability Company）とは何か
　これまで、会社に関する法律は「商法」に定められていましたが、2005年に商法が改正され、会社法（いわゆる新会社法）が成立。2006年5月に施行されました。

　会社法には、株式会社以外に持分会社という類型の会社も認められています。持分会社には、合名会社、合資会社、合同会社（日本版LLC）の3種類があります。合名会社、合資会社は無限責任がある会社形態で、現行の商法でも認められていますが、あまり活用されていません。

　今回、会社法で初めて採用されたのが「合同会社」（日本版LLC）です。LLCとは、Limited Liability Companyの略で、直訳すると「有限責任会社」という意味です。

　これまでも、合名・合資会社はあまり利用されませんでしたが、今後もあえて利用するメリットがあるとは思えません。合名・合資会社と同様のメリットを享受しつつ、責任は有限責任とされる合同会社が認められたからです。

２．合同会社と株式会社の違い
　両者のどのようなところが大きく違うのかについては以下のサイトに記載されています。

新会社法と合同会社（LLC）（2）：LLCは株式会社やLLPとどこが違う？

３．合同会社のメリット
　以上をまとめると、合同会社は社員（出資者）の有限責任が確保され、会社の内部関係については組合的規則が適用されたもので、株式会社の敷居を低くした、いいとこ取りの会社形態です。
　要するに、技術や知識を持ち寄って少人数（1人でも可）で設立できるところがメリットです。コンサルタントなど所謂「人的会社」に適した形態であると言えるでしょう。

内部統制整備のポイントの３月２５日の記事｢企業効率化へのロードマップで」中に記載されている、バランス･スコアーカードとはどういったものですか。

バランススコアカード（ＢＳＣ）は、1992年ハーバードビジネススクールのロバート・Ｓ・キャプラン教授とコンサルタント会社社長のデビット・Ｐ・ノートン氏により「ハーバード・ビジネス・レビュー」誌上に新たな業績評価システムとして発表されました。

バランススコアカードは、企業のもつ重要な要素が企業のビジョン・戦略にどのように影響し業績に現れているのかを可視化するための業績評価手法です。

バランススコアカードに関する情報サイトであるバランススコアカードＮＡＶＩを紹介します。

リスクマネジメント（ＲＭ）と内部統制の関係がわかりにくいので説明してください。

平成15年6月、リスク管理･内部統制に関する研究会が発表した「リスク新時代の内部統制」のなかで、両者の関係が以下のように説明されています。
１．リスクマネジメント及び内部統制
　リスクマネジメントとは、企業の価値を維持・増大していくために、企業が経営を行っていく上で、事業に関連する内外の様々なリスクを適切に管理する活動である。リスクマネジメントは、もともと、災害の発生に対する対応や金融面における不確実性の管理という観点から生まれ発展してきたものであるが、経済社会における不確実性を管理する必要性が高まってきている中で、現在では、広範なリスクを管理するための活動として理解されるようになってきている。
　内部統制とは、企業がその業務を適正かつ効率的に遂行するために、社内に構築され、運用される体制及びプロセスである。内部統制は、市場経済社会において、企業法制が形づくるシステム全体が成立するための前提であるが、同時に企業が事業目的の達成に係るリスクを低減させ、持続的に発展していくためにも不可欠である。内部統制は、企業が事業を行う上で欠かすことのできないものであり、各企業の中で個別に発展してきたが、不正な財務報告に関する事件等を契機として、概念の整理が行われ、1990 年代以降、米、英等において指針が示されてきている。
　リスクマネジメント及び内部統制は、それぞれが異なる背景を持ち、違った経路を経て発展してきたが、企業を取り巻く様々なリスクに対応し、企業価値を維持・向上するという観点からは、その目的は多くの共通部分を有している。
　昨今、企業を取り巻く環境が変化し、かつ、環境変化への対応が市場等により厳しく評価されるようになってきている中で、これらを一体的にとらえ、機能させていくことが必要となってきている。

２．リスクマネジメントと一体となって機能する内部統制
内部統制の構成は、企業全体で共有され、企業構成員が業務執行する際の拠り所となる「内部統制の基盤」と、その上で個別に運用される「内部統制における機能」に大きく区分できる。
　「内部統制の基盤」と「内部統制における機能」は、相互に影響を及ぼしながら企業活動の遂行を支援することから、両者を厳密に区分することは難しいが、リスクマネジメントと一体となって機能する内部統制の全体図は概ね次のとおりと考えることができる。　
（クリックで拡大）

新会社法の内部統制への対応と財務報告に係る内部統制への対応では、どのような点が違うのですか？

新会社法への対応と財務報告に係る内部統制への対応とでは、求められている内部統制の内容が異なるので、対応もそれぞれ異なる部分があります。
　J-SOX法の基準案等への対応におけるITに関する統制は、財務に係る統制を主な対象としているので、新会社法で求める内部統制の対象範囲よりも狭くなります。
　新会社法では財務報告に係らない領域の内部統制や、ITに対する統制などを含めて対応しなければなりません。また、ERM(Enterprise Risk Management:企業の統合的リスク管理)として内部統制を包含したリスク管理も考えて対応しなければなりません。
　J-SOXの内部統制、内部統制、ERMの範囲を概念的に整理すると以下のとおりです。(クリックで拡大）

　これによれば、例えば、最近不二家で発覚した以下の問題に対しては、J-SOX法の範囲の内部統制への対応のみでは不十分で、新会社法の内部統制、さらに、ERMへの対応が必要であることになります。
　
注：不二家で発覚した問題　　参考プログはこちら

不二家はISOを導入していたようだ。もちろん食品の安全管理マニュアルも存在した。しかし、そのマニュアルに書かれた自主基準そのものが法令上問題であったらしい。黄色ブドウ球菌、大腸菌などの数が最初から法令違反だった。

　
　不二家の場合、新会社法レベルの内部統制、さらにERMが存在していなかったことは明らかです。

　従って、企業の経営者は、自社の内部統制の整備を考える時、その目的と整備しようとする内部統制の範囲をよく考えて計画する必要があります。

内部統制に関していろいろの法律やフレームワークや考え方があるが、それらの関係はどうなっていますか。
内部統制と法律やフレームワークの関係

	日本	米国	英国
法律	日本版ＳＯＸ法 　　(J-SOX法） 新会社法	ＳＯＸ法
内部統制のフレーム ワーク	基準案 実施規準	ＣＯＳＯ ＣＯＳＯ ＥＲＭ
ＩＴのフレームワーク	システム管理基準 システム監査基準	ＣＯＢＩＴ ＣＯＢＩＴ for ＳＯＸ	ＩＴＩＬ

　上の表から、注意すべきことは米国SOX法に対応するのはJ-SOX法＋新会社法　だということです。
　そこで、J-SOX法と新会社法の関係(違い）を確認しておく必要があります。
金融商品取引法(J-SOX法)と新会社法の比較

項目	金融商品取引法（J-SOX法）	新会社法
対象企業	公開会社とその連結子会社 　(上場企業約3800社）	大会社（資本金5億円以上又は負債 200億円以上）
目的	有価証券報告者(財務報告)への記載 事項の信頼性の確保	事業全般に渡る業務の適正化
規準･規則	実施規準（金融庁）企業会計審議会 内部統制部会が作成中	会社法施行規則(法務省)2006年2月発表
義務	経営者が内部統制の有効性を評価す る。その上で内部統制報告書の提出 を義務付け	内部統制を実現する仕組みの方針の 決定を義務付け
監査	経営者が実施する内部統制の評価を 公認会計士が監査	監査規定なし
罰則	虚偽記載の報告書を提出したものは 懲役10年以下又は1000万円以下の、 罰金法人は7億円以下の罰金	無し。但し、内部統制の仕組みがな かったり、有効に機能していなかっ たりした場合、株主代表訴訟素にも なりかねない。

内部統制の意味を分かりやすく説明してください。

内部統制は、企業の経営と業務における制御機能を体系化した概念で、企業に関わる全ての構成員の行動に対するPDCA(Plan-Do-Check-Action)の過程を伴う体系化、制度化されたチェックの仕組みを意味しています。
　企業の規模が小さい間は、経営者の目が各従業員にまで行き届くため、業務におけるチェック機能を詳細に設計して運用する必要性は乏しいですが、企業の規模が拡大すると、一定の内部規律を決めて、従業員に守らせるだけでなく、経営者自らもこれを尊重しないと運営が難しくなります。内部統制は、企業を取り巻くいろいろなリスクに対応して、誤りや不正なく経営と業務を進めるためにチェックの仕組みを作り、決めたとおりに運用することを意味します。

なお、トップページに記載しているように、J-SOXの内部統制は上記のうち財務報告に係る部分に限定されたものであることに注意する必要があります。

はじめに

　『彼を知り己を知れば、百戦殆うからず。』は,孫子<第三篇 謀攻>の有名な言葉である。
　従って、内部統制の整備を迫られている、経営幹部の方が先ずやるべきことは、『彼を知る』こと。次に『己を知る』ことである。

　『彼を知る』とは、先ず内部統制と何かを知ること。そして内部統制整備を要求している現在の外部環境を知ることである。
　『己を知る』とは、自社の内部統制の現在の状況（レベル）を知ることである。

　よくある質問を掲載するに当たり、まず『内部統制と何か』について、Ｑ＆Ａ形式でまとめることにする。