理論的根拠
Internal Control - Integrated Framework
COSOとは、The Committee of Sponsoring Organizations of the Treadway Commissionの略称。内部統制の概念定義を公式に整理したことで知られている。
内部統制の枠組みは、目的(for what)、プロセス(how to)、人(who does)という三次元の切り口で構成している。Executive SummaryがWebで公開されている。
http://www.coso.org/publications/executive_summary_integrated_framework.htm
米国のSarbanes-Oxley Act(いわゆるSox法)で枠組みがそのまま採り入れられたが、日本の基準ではこれを下敷きにしつつ若干のアレンジをしている。
なお、以下の邦訳書がある。いずれも鳥羽・高田・八田(訳)白桃書房(1996年)。
- 内部統制の総合的枠組み−理論篇
- 内部統制の総合的枠組み−ツール篇
- Internal Control over Financial Reporting ---- Guidance for Smaller Public Companies
相対的に小規模な企業が、財務報告統制に取組む際のガイダンスで、中小規模公開企業向けと表題があるもののその意味するところは大企業にも参考になる部分が多い。ありがたいことに、そのExecutive Summaryは、日本語になっている。
- COSO内部統制システム モニタリングガイダンス
COSOフレームワークの5要素のうち、特にモニタリングの重要性を踏まえて、その理論的根拠と実務例を紹介したものとなっている。
Guidance on Monitoring Internal Control Systems
COSOから発行された「監視活動」に関するガイダンス。
そこには「鍵となる内部統制の識別」として以下のように記載されている。
またキーコントロールの識別する目的として以下の示唆がある。重要なリスクに対処する鍵となる内部統制の選択は、内部統制の有効性に関する結論について、過度ではなく適度な裏付けを提供するものに焦点を当てることにより、モニタリングの有効性および効率性を高める。
鍵となる内部統制は、次のいずれかまたは双方の特性を有する。
−内部統制の機能不全は、評価者が責任をもつ目標に重要な影響を与えるおそれがあるが、他の内部統制により適時に発見されない可能性があること、
および/または
−内部統制の運用により、他の内部統制の機能不全が防止され、もしくはかかる機能不全が組織目標にとって重要となる前に発見される場合がある
鍵となる内部統制を識別する目的は、当該内部統制が、内部統制システムにとって、他の内部統制よりもより一層重要であることを示唆することではなく、もっとも大きな価値をもたらす内部統制に、組織がモニタリング資源を投入できるようにすることである。
制度的根拠
金融庁
財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)
平成19年2月15日企業会計審議会
日本の財務報告に係る内部統制の経営者による評価及び監査人による監査の体系について取り纏めたもの。全てはここから始まっている。
http://www.fsa.go.jp/singi/singi_kigyou/tosin/20070215.html
財務報告に係る内部統制に関する法令等
- 金融商品取引法第24条の4の4第1項
- 第二十四条第一項の規定による有価証券報告書を提出しなければならない会社(第二十三条の三第四項の規定により当該有価証券報告書を提出した会社を含む。次項において同じ。)のうち、第二十四条第一項第一号に掲げる有価証券の発行者である会社その他の政令で定めるものは、事業年度ごとに、当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要なものとして内閣府令で定める体制について、内閣府令で定めるところにより評価した報告書(以下「内部統制報告書」という。)を有価証券報告書(同条第八項の規定により同項に規定する有価証券報告書等に代えて外国会社報告書を提出する場合にあつては、当該外国会社報告書)と併せて内閣総理大臣に提出しなければならない。
上記に関連して、以下の府令及びそのガイドラインが発出されている。
- 内部統制府令
「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令」が正式名称で、この府令によって金融商品取引法第24条の4の4?の「一般に公正妥当と認められる財務報告に係る内部統制の評価の基準」として、実施基準が権威付けられたことになる。
- 内部統制府令ガイドライン(平成19年10月金融庁総務企画局)
「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令」の取扱いに関する留意事項について
http://www.fsa.go.jp/common/law/kaiji/
http://www.fsa.go.jp/common/law/kaiji/13.pdf
- 内部統制報告制度に関するQ&A(平成19年10月1日金融庁総務企画局)
http://www.fsa.go.jp/common/law/kaiji/13a.pdf
日本公認会計士協会
財務報告に係る内部統制の監査に関する実務上の取扱い
平成19年10月24日日本公認会計士協会監査・保証実務委員会報告第82号
http://www.hp.jicpa.or.jp/specialized_field/82.html
参考文献等
全般
James Brady Vorhies, Key Controls: The Solution for Sarbanes-Oxley Internal Control Compliance, The Institute of Internal Auditors (March 2004)
- おそらくKeyControlsというズバリのタイトルで内部統制を扱っているのはこれしかない。 - なわ (2008年03月16日 12時59分02秒)
経理・財務サービス スキルスタンダード(平成15年 経済産業省)
いきなり内部統制の概念・理念から入るよりも、経理業務とはこういうものかという理解を先にした方が取組みやすい。経済産業省が、経理・財務業務をサービスとして捉えそのスキル水準を標準化客観化することを目的に、実務界に開発委託して策定されたもので、WEBから入手できるようになっている。
http://www.meti.go.jp/policy/servicepolicy/contents/management_support/files/keiri-zaimu.html
なお、平成20年4月にFASS2.0が開発されている。
http://www.meti.go.jp/policy/servicepolicy/contents/management_support/management_support.html
また、個人が、その資質(サービススキル)を有しているかどうかについては、FASS検定と呼ばれるもので評価できるようになっている。
http://www.cfo.jp/fass/index.html
- shibayanさん、ご紹介感謝。 - なわ (2008年04月06日 12時03分53秒)
IT統制リスク
NPO日本システム監査人協会編「IT統制監査実践マニュアル」(2008年2月)
- 財務報告対応を銘打つだけあって、また日本のシステム監査の中心組織に帰属する人たちが記述していることもあり、理論的かつ実務的観点のバランスよく記載されている。事例にCDROMがついているのは実務で役に立つかも。 - なわ (2008年03月16日 12時53分24秒)
Guide to the Assessment of IT General Controls Scope Based on Risk , The Institute of Internal Auditors, Jan 2007, Mar 2008
http://www.theiia.org/guidance/technology/gait/
文字通り、IT全般統制の評価についての範囲を決めるための概念であり、手続について具体的に記載されたものではありませんが、内部統制評価において最も重要なのは、How to assess/auditではなく、What to assess/auditです。つまり、必要最小限のコストで最大限の成果を上げるためには、リスクのあるところではなく、よりリスクの高いところに焦点を絞ることが必要なわけです。
IT全般統制の影響は業務広範に亘る(pervasive)ため、一旦不備が検出されてしまうと、その影響評価や対応に結構なリソースを要してしまいますが、「財務報告」という観点からきちんと絞り込んだ作業をしないと、最後に財務報告には影響がないという結論を導いても、結局リソースを浪費しただけで終わってしまう可能性があります。
IT全般統制に関して、それをどうやって絞り込んでいくかという議論をしたものがGAITのアイデアです。
- IT全般統制に関するキーコントロールの識別方法についてかなり具体的に記載されている。四つの原則を記載したPrinciplesと実務的な方法を記載したMethodologyの二部構成。 - なわ (2008年03月16日 13時06分38秒)
- 2008年3月17日にGAIT2が出ています。同じURLでアクセスできますが、なぜかPrinciplesがどこかに消えてしまいました。もちろんMethodologyの中には入っていますが。 - なわ (2008年03月19日 18時33分20秒)
- 勉強になります。ところでこの使われ方は、ICOFRに限定したものではない一般的なものと理解した方がいいのでしょうか。それとも、それ以外の目的も想定されているのでしょうか。例えば、ISOとか。 - shibayan (2008年03月20日 13時25分29秒)
- GAITはモロにSOX404のAS5を意識して作成されていると冒頭に書いてあります。ゆえに、かなり参考になりますよ。 - なわ (2008年03月20日 15時55分38秒)
【本文脚注】