ID管理は、企業における「内部統制」と大きく関わります。
今回は、その内部統制の1つの基準である「J-SOX」について紹介します。
コンテンツ
「内部統制」とは
内部統制とは「企業防衛のために組織へのあらゆる損失を回避または最小限に抑えるための管理手法」を指します。
詳細はこちらのリンクページを参照ください。
→keyspider.jp →ID管理のリスクと課題「内部統制」
「J-SOX」とは
概要
J-SOXとは「内部統制報告制度」であり、「財務報告に係る内部統制に関する報告制度」を指します。
企業における内部統制とは「さまざまな業務が適正に実施され、組織が適切にコントロールされているかどうかをチェックすること」を指しますが、日本企業は内部統制のためにJ-SOXに対応することが必要とされています。
報告義務
日本の上場企業においては、例外なくJ-SOXへの対応が必要であり、事業年度ごとに「財務業務における内部統制評価結果」を国に報告する義務があります。
公認会計士もしくは監査法人による監査を受けた「内部統制報告書+有価証券報告書」を内閣総理大臣へ提出することが義務付けられています。
米国「SOX法」と日本版「J-SOX法」
J-SOX法は、米国のSOX法(企業改革法)をベースとしており、「日本(Japan)版SOX法」ということから「J-SOX法」と呼ばれています。
米国「SOX法」と同様に日本版「J-SOX法」も、「財務報告における内部統制」と「不正会計防止」を目的としています。
米国「SOX法」は運用における企業負担が膨大となることが課題となっていましたが、日本版「J-SOX法」では「経営者向けガイダンスサポート」や「ダイレクトレポーティング(企業監査人による内部統制テスト)」などにより、企業負担低減が図られています。
目的
J-SOXによる内部統制では、「財務報告書の信頼性確保」を中心として以下の4点が目的とされています。
1.業務の有効性と効率性
2.財務報告信頼性
3.関連法規遵守
4.資産保全
対象項目
J-SOXは以下の6項目を対象としています。
1.統制環境
2.リスクの評価と対応
3.統制活動
4.情報と伝達
5.モニタリング
6.ITへの対応
J-SOXに関連する「内部統制報告書」
概要
「内部統制報告書」とは、「財務報告における内部統制の評価内容などが記載された書類」を指します。
J-SOX対象企業に対して提出義務が課せられており、非提出の場合は罰則が科せられます。
記載情報
内部統制報告書には、「企業名や企業所在地などの基本情報」の他に、以下の5項目を記載することが求められます。
①財務報告に関わる内部統制の基本的枠組みに関する事項
②評価の範囲、基準日および評価手続きに関する事項
③評価結果に関する事項
④付記事項
⑤特記事項
内部統制報告書の「3点セット」
概要
内部統制状況を把握するための資料として、俗称で「3点セット」と呼ばれる、以下の3つの書類が作成されます。
「3点セット」は、作成および提出が義務付けられているわけではありませんが、内部統制状況の可視化(効率化)のために「作成しておくべき書類」とされています。
内部統制報告書作成において、最初の段階で作成され、記載内容をベースとして評価を実施します。
書類①業務記述書
「業務記述書」は、「業務の流れを”文章”で記載した書類」です。
「業務内容」「業務プロセス」「実施者」「利用システム」などを文章で説明します。
「作業内容把握」「担当者把握」「リスクコントロール」などを目的として作成され、「だれが?」「いつ?」「どのように?」「手作業で実施?」「システムを利用?」などの業務詳細を明確化します。
書類②フローチャート
「フローチャート」は、「業務の流れを”図表”で記載した書類」です。
こちらの書類も「業務内容を明確化するための書類」として「社内全体」「部門単位」などで作成され、「業務プロセスの把握」を目的として作成します。
書類③リスクコントロールマトリクス(RCM:Risk Control Matrix)
「リスクコントロールマトリクス」は、「業務財務報告に関連するリスク」と「リスクに対する対応策」を一覧にして比較記載した書類です。
「想定されるリスク」を列挙し、それらに対応する「実行可能な対応策」を記述することで、リスクコントロールが有効であることを示します。
内部統制報告書の「作成プロセス」
プロセス①内部統制の「整備状況」「運用状況」の把握
企業において、「内部統制が適正に整備(運用)されているのか?」について把握するために、一般的に上記の3点セット「業務記述書」「フローチャート」「リスクコントロールマトリクス」を作成します。
プロセス②不備の有無を評価
プロセス①で作成した「3点セット」で示された内部統制状況をベースとして、「手順書」「体制」「運用状況」などについて不備の有無を評価します。
プロセス③不備を分析し「開示すべき重要な不備なのか?」を判断
「プロセス②で発見されたすべての不備」を分析し、「開示すべき重要な不備のみ」を内部統制報告書に記載します。
すべての不備を開示する必要はなく、「財務報告の信頼性を損なう可能性がある不備」や「投資判断に影響を与える可能性がある不備」について開示すべきとされています。
プロセス④内部統制報告書を作成
「金融庁の内部統制報告書テンプレート」などをベースとして、内部統制報告書を作成します。
プロセス⑤外部監査法人による監査実施
対象となるすべての企業は、作成した内部統制報告書について、外部監査法人による監査を受ける必要があります。
プロセス⑥金融庁へ提出
毎年(事業年度ごと)に、「事業年度末日から3ヶ月以内」を期限として、金融庁へ提出します。
「経営者」の役割=内部統制評価
内部統制の整備および運用
内部統制報告制度において、「経営者」には「自社の内部統制を整備(運用)する役割と責任」が課されています。
「整備」と「運用」の定義
「整備」とは、「内部統制が適切に設計されていること」および「設計された内部統制が実際に業務に適用されていること」を意味します。
「運用」とは、「当該内部統制を一定期間継続的に有効に機能させること」を意味します。
報告実施
経営者は「各事業年度期末日における内部統制の有効性」について評価し、監査法人による監査を受けます。
その後、社外に対して、有価証券報告書に添付する形で内部統制報告書を公表します。
「経営者による内部統制に関する評価」として多くの投資家に対して公表されるため、経営者の役割は大変重要となります。
「監査法人」の役割=内部統制監査
独立の立場から監査を実施
内部統制報告制度において、「監査法人」には「独立の立場から内部統制報告書について監査を実施する役割と責任」が課されています。
内部統制監査報告書
監査法人は、内部統制報告書に対する意見について、「内部統制の評価に関する監査報告書」(内部統制監査報告書)で表明します。
監査対象は「内部統制報告書における虚偽の有無」のみ
監査法人による監査対象となるのは、あくまで「経営者が作成した内部統制報告書における虚偽の有無」であり、「内部統制の有効性自体」については監査対象とはなりません。
内部統制に重要な不備が検出されていたとしても、内部統制報告書にその情報が記載されているならば、監査意見として「適正」となります。
逆に、「発覚している重要な不備」が内部統制報告書に記載されていない場合では、監査意見として「不適正」となることが求められます。
J-SOXにおける「ITへの対応」
J-SOXにおける「ITへの対応」は、金融庁が出している「財務報告に係る内部統制の評価及び監査に関する実施基準」の中の「ITの統制の構築」に関連しており、特にID管理と関わる項目となります。
「ITへの対応」として、以下の3項目が対象範囲とされています。
①IT全社的統制
「①IT全社的統制」とは「企業グループ全体としてのIT統制」を意味しています。
複数の会社を抱える企業グループの場合、本社や子会社のそれぞれのITシステムリスクを個別に評価するだけでなく、企業グループ全体としてのIT統制が必要です。
グループ全体で「ITシステム活用ポリシー」を設定し、本社や子会社の区別なく企業グループの末端まで、ITシステムガバナンスが適用される仕組みの構築が必要です。
②IT業務処理統制
「②IT業務処理統制」は、「企業業務管理システムにおいて承認された業務がすべて正確に処理(記録)されることを確保するために業務プロセスに組み込まれたITに関わる内部統制」を意味します。
「①IT全社的統制」をベースとし、「ERP」「販売管理」「会計管理」「在庫管理」「ワークフロー」などの個別システムについての方向性をまとめたもので、システムの具体的な「実装」「運用」「保守」に関する部分が対象となります。
③IT全般統制
「IT全般統制」は、「業務処理統制が有効に機能する環境を保証するための統制活動」を意味しています。
「複数の業務処理統制に関係する方針と手続」であり、「業務に必要な複数のシステムを連携させる場合のルール設定」や「内外アクセス管理などのシステム安全性確保」が中心となります。
対象項目例
・システムの「開発」「運用」「保守」における変更管理
・ID管理やセキュリティ対策によるアクセスと安全性の確保
・外部委託契約管理 など
まとめ
内部統制はコーポレートガバナンスの根幹であり、その内部統制をチェックするためのJ-SOX法は企業にとって非常に重要な制度です。
企業は「内部統制」「J-SOX」「コーポレートガバナンス」「セキュリティ保護」などの多くの要求に対応できるように、適切なID管理ソリューションを導入して、厳格なID管理の運用実施が求められます。
日本企業向けクラウドID管理サービス「Keyspider」とは?
Keyspiderオフィシャルサイトでは、Keyspiderに関する情報を紹介しています。
「日本企業向けである理由」「Keyspiderが必要である理由」「JSOX法対応」「業務自動化」などについて参照できます。
参考元サイト
- https://www.innopm.com/blog/internal-control
- https://rpa.bigtreetc.com/column/internalcontrol/
- https://bridge-group.co.jp/news/650/
- https://frontier-eyes.online/japanese-sarbanes-oxley-act/
- https://www.agsc.co.jp/ags-media/j-sox/
- https://locked.jp/blog/what-is-sarbanes-oxley-act/
- https://cpa-apple.com/1841/
- https://kaikeizine.jp/article/29070/3/
- https://www.oro.com/zac/blog/internal-control-report/