日本版SOX法(J-SOX)に対応して、内部統制の整備や有効性評価、外部監査人による監査を的確に実施するためには、基本的な用語の意味を正しく理解することが欠かせない。そこで本特集の締めくくりとして、今回から2回にわたり、J-SOX対応で知っておくべき重要な用語を解説する。


3点セット

 業務フロー図、業務記述書、リスク・コントロール・マトリックスを指す。自社の内部統制の状況を可視化し、外部に説明するために作成する。実施基準で各文書の例示はあるが、作成を義務付けてはいない。

AS2、AS5

 AS2は、米SOX法404条が義務付ける内部統制監査のための監査基準。公認会計士などの外部監査人向けである。PCAOB(公開企業会計監督委員会)が作成し、2004年3月に公表した。正式名称は「Auditing Standard No.2」。07年7月、PCAOBはAS2を改正した「AS5」を公表した。

COBIT for SOX

 米SOX法対応企業向けに、ITガバナンスのフレームワーク(評価基準の体系)「COBIT」を財務報告の視点から抽出・整理したもの。IT全般統制、IT業務処理統制の両方について言及がある。正式名称は「IT Control Objectives for Sarbanes-Oxley」。米ITガバナンス協会(ITGI)/情報システムコントロール協会が作成した。米SOX法対応企業の経験を反映した第2版の日本語版が、ITGI JapanのWebページからダウンロードできる。

COSOフレームワーク

 事実上の世界標準となっている内部統制のフレームワーク。内部統制の目標は、(1)関連法規の順守、(2)財務報告の正確性、(3)業務の有効性・効率性――としている。目的を達成するための構成要素として、(1)統制環境、(2)リスクの評価、(3)統制活動、(4)情報と伝達、(5)モニタリングーーを挙げる。

IT委員会報告第3号/第31号

 IT委員会報告第3号は、日本公認会計士協会(JICPA)が公表している財務諸表監査の基準の1つである。監査人に対し、ITにかかわる監査の留意点などを解説している。正式名称は「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価および評価したリスクに対応する監査人の手続について」。

 第31号はITに詳しくない監査人向けに第3号を補足したQ&A集。正式名称は、「IT委員会報告第3号『財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価および評価したリスクに対応する監査人の手続について』Q&A」。いずれも日本公認会計士協会のWebページからダウンロードできる。

IT業務処理統制 (ITAC:IT Application Control)

 業務プロセスを実行する際に利用する情報システムに組み込まれた統制を指す。売上伝票の誤入力を防ぐために入力可能なケタ数を制限する、ワークフロー・システムを利用して上長の承認のない伝票は決済できないようにする、といった仕組みが該当する。実施基準では具体例として、(1)入力情報の完全性、正確性、正当性などを確保する統制、(2)例外処理(エラー)の修正と再処理、(3)マスター・データの維持管理、(4)システムの利用に関する認証、操作範囲の限定などのアクセス管理ーーを挙げる。

 システムによって自動化された統制は、人手で実施する統制と比べて正確性や網羅性が高いとみなされる。そのため、内部統制の運用状況を評価する際に必要なサンプル数が少なくて済む。ただし、サンプル数を抑えられるのは、IT業務処理統制を実行しているシステムに対するIT全般統制が有効の場合と限られている。