J-SOXの誤解を解く

J-SOXのフレームワーク
システム監査学会・監査基準分科会
合同研究会
平成19年4月6日
公認会計士・公認システム監査人
藤野正純
目次
J-SOXの新機軸
2. 内部統制部会報告の幻惑
1.
1. 資産の保全
2. ITへの対応
3. リスク対応
3.
内部統制の利用のされ方
1. 経営管理
2. 会計監査
3. コーポレートガバナンス
2007/4/6
公認会計士藤野正純
2
目次
4.
(つづき)
内部統制の取上げられ方
1. 金融商品取引法制
2. 会社法
5. 内部統制とガバナンスのとらえ方
6. システム監査の意義
2007/4/6
公認会計士藤野正純
3
1-1 J-SOXと呼ばれるもの

2005.12.8 企業会計審議会内部統制部会の報
告書の取りまとめについて・・・ 財務報告に
係る内部統制の評価及び監査の基準案
 2006.6. 7 証券取引法等の一部を改正する法律

2007.2.15 財務報告に係る内部統制の評価及
び監査の基準、並びに実施基準(意見書)
同様にガバナンスを強化するもの
 2005.7.26 会社法
 2006.2. 7 会社法施行規則
 2006.5. 1 施行
2007/4/6
公認会計士藤野正純
4
1-2 内部統制部会報告の幻惑

資産の保全(目的)
– 内部統制の4つ目の目的?

ITへの対応 (基本的要素)
– 構成要素から基本的要素に

リスクの評価と対応(基本的要素)
– コントロールからマネジメントへ
2007/4/6
公認会計士藤野正純
5
1-3 COSOキューブ(J-SOX)
www.nttdata.co.jp/release/2006/img/041800-01.jpg
2007/4/6
公認会計士藤野正純
6
2-1 資産の保全

COSOの国内化?
– 監査役の役割を明示化する

初めてのコントロールは資産保全
– 受託責任は財産管理から始まる

3つの目的はトレードオフの関係
– 資産保全は3つの目的に共通する
<それでも魅力的な資産保全という目的>
2007/4/6
公認会計士藤野正純
7
2-2 ITへの対応

COSOの最新化?
– ITを無視した内部統制議論では不十分
– ITへの注意を喚起
ITへの対応は、どの基本的要素にも
共通
 5つの構成要素を評価する時の留意点

– 「基本的要素」は使わない方がよい
<IT統制は内部統制のすべてではない>
2007/4/6
公認会計士藤野正純
8
2-3 リスクの評価と対応


リスク対応は経営者の意思決定問題
内部統制とは・・・
– COSOはコントロールで止めた
– J-SOXはマネジメントまで含めた

内部統制概念を拡張することにメリッ
トはあるか?
– 内部統制の外に重要な論点はたくさんある
– 経営者の姿勢や経営方針、社風
– リスク評価やモニタリングの後の経営判断
<リスク対応はガバナンスで検討すべき>
2007/4/6
公認会計士藤野正純
9
2-4 COSOケーキ
COSOフレームワークを理解するために
2007/4/6
公認会計士藤野正純
10
3

内部統制の利用のされ方
経営管理
– 業務の有効性を支えるもの

会計監査
– 試査を支えるもの

コーポレートガバナンス
–経 営 者 の 言 明 を 担 保 す る も の
<不正誤謬を摘発するだけの内部統制はない>
2007/4/6
公認会計士藤野正純
11
3-1
経営管理のため
執行(マネジメント)
 J-SOX 以前から構築されている

– 経営者の意図通りに業務が行われるため
– 成果が正確に経営者に報告されるため
<内部統制はJ-SOXのためにあるのではない>
2007/4/6
公認会計士藤野正純
12
3-2 会計監査のため
監査
 試査が実現可能である前提
 内部統制がない場合も監査は可能

<内部統制の良悪と会計監査意見に直接の関
係はない>
2007/4/6
公認会計士藤野正純
13
3-3
コーポレート・ガバナンスのため
監督
 経営者の言明としての内部統制報告書

– 自身が不正を行っていない旨の宣誓
– 社員が不正を行えない旨の宣誓

経営者の責任を問う手段
<実効ある内部統制が求められているわけではない>

経営者の受託責任の遂行の手段
2007/4/6
公認会計士藤野正純
14
4 内部統制の取上げられ方
●
金融商品取引法制
●
●
(目的)有価証券報告書の信頼性のため
会社法
●
●
(目的)業務の適正化のため
両者が求める内部統制の差異については
松田さんのまとめを参照のこと
2007/4/6
公認会計士藤野正純
15
4-1 金融商品取引法制で

金融商品取引法制
– 財務計算に関する書類その他の情報の適正
性を確保するために必要なものとしての体
制
– 経営者が「内部統制報告書」を提出
– 「内部統制報告書」を公認会計士が監査
– 罰則有り
2007/4/6
公認会計士藤野正純
16
4-2 会社法で

会社法
– 取締役の職務の執行が法令及び定款に適合
することを確保するための体制
– その他株式会社の業務の適正を確保するた
めに必要なものとしての体制
– 取締役に内部統制を確保する善管注意義務
– 監査役の監査対象(業務監査)
– 罰則無し
2007/4/6
公認会計士藤野正純
17
5 内部統制とコーポレートガバナンスの
取上げられ方

コーポレートガバナンスの基本型
– 執行(業務執行役員)
– 監督(取締役)
– 監査(監査人)

執行・監督・監査の相互関係
2007/4/6
公認会計士藤野正純
18
コーポレートガバナンス構造 Ⅰ
コーポレートガバナンス
監督
執行
2007/4/6
監査
公認会計士藤野正純
19
コーポレートガバナンス構造 Ⅱ
コーポレートガバナンス
監督
執行
2007/4/6
監査
公認会計士藤野正純
20
コーポレートガバナンスと切断さ
れた内部統制
コーポレート・ガバナンス
マネジメント・システム
2007/4/6
内部統制
公認会計士藤野正純
21
コーポレートガバナンスと連動し
た内部統制
コーポレート・ガバナンス
内部統制
マネジメント・システム
2007/4/6
公認会計士藤野正純
22
J-SOX の場合
監督
コーポレート・ガバナンス
執行
監査
内部統制
マネジメント・システム
2007/4/6
公認会計士藤野正純
23
5-1ITガバナンスのとらえ方
– 「内部統制」「IT統制」「コーポレートガバナンス」「ITガ
バナンス」の関係については、佐竹さんの論考を参照
のこと
– 「ガバメント」と「ガバナンス」の違いについては永井さ
んの論考を参照のこと
– 「コーポレート・ガバナンス」、「マネジメント・システム」
などの定義のされかたについては、岡谷さんの論考
を参考のこと
2007/4/6
公認会計士藤野正純
24
5-2 ITコントロール
コーポレートガバナンスとITガバナ
ンス
 ITマネジメント
 ITコントロール

– 内部統制の全てではないが必要不可欠なも
のとなってきている
– ITリスクとの関連で意味づけられるもの
2007/4/6
公認会計士藤野正純
25
5-3 ITガバナンス
コーポレートガバナンスを支える柱の
ひとつ
 IT戦略の達成と
 ITの有効かつ効率的な運用を
 経営者層に対して規律付けし影響力を
行使するもの

2007/4/6
公認会計士藤野正純
26
6-1 システム監査の意義

情報セキュリティ監査
– セキュリティに特化した監査
– 情報システム以外も含む

システム監査
– 情報システム構築・運用の全体最適化を目
的とする監査
– ITガバナンス達成に寄与するもの
– 経営に資するもの
2007/4/6
公認会計士藤野正純
27
6-2 システム監査の存在意義

経営管理
– 業務の有効性をITシステムの側面で
支援する

会計監査
– 監査意見形成の基礎を支える
(内部統制の評価だけではなく)

コーポレートガバナンス
– ITガバナンスの達成に寄与する
2007/4/6
公認会計士藤野正純
28
公認会計士藤野正純事務所
 TEL:075-722-0918
06-6920-5317
 E-mail:[email protected]
 HP:http://web.kyoto-Inet.or.jp/people/fujino/

2007/4/6
公認会計士藤野正純
29