J-SOX対応で知っておくべき用語（後編）

日経コンピュータ

2007.10.19

　前回に続き、J-SOX対応で知っておくべき重要な用語を解説する。意味を再確認し、内部統制の整備や有効性評価、外部監査人による監査を的確に実施するのに役立ててほしい。

基準

　J-SOXに対応する企業が内部統制を整備・運用にする際に準拠が義務付けられている文書。（1）内部統制の基本的枠組、（2）内部統制の評価および報告、（3）内部統制の監査――の3部から成り立っている。（1）の基本的枠組みはCOSOフレームワークにのっとっているが、日本独自の特徴として、内部統制の目的に「資産の保全」が、基本的要素に「ITへの対応」が加わっている。正式名称は、「財務報告にかかる内部統制の評価および監査の基準」。金融庁企業会計審議会内部統制部会が作成した。この基準に準拠することは内閣府令によって義務付けられている。

業務記述書

　3点セットの1つで、個々の業務内容について手順や詳細を示した文書。業務規定やマニュアルなどが該当する。

業務処理統制

　業務プロセスの中に組み込まれた統制。照合や承認といった作業が該当する。手動で実施する統制もあれば、ITを利用して実現する場合もある。ITを利用した業務処理統制をIT業務処理統制と呼ぶ。

業務フロー図

　3点セットの1つで、業務の手順をフローチャート形式で記述した文書。

金融商品取引法

　投資家保護を目的として、証券取引法を改正した法律。24条と193条において、上場企業に対し内部統制の整備・運用と、内部統制の状況の経営者評価、経営者評価の妥当性の外部監査を義務付けている。虚偽記載があった場合は、経営者は5年以下の懲役または500万円以下の罰金、もしくはその両方が科せられる。

　金融商品取引法は、内部統制のほかに、財務報告の四半期開示や、投資ファンドに対する規制などの内容を含んでいる。法律自体の施行は2007年9月末からだが、内部統制報告制度は08年4月以降に始まる事業年度からと内閣府令で定めている。

経営者評価

　内部統制報告書を作成するために実施する、内部統制の整備・運用状況の有効性評価のこと。一般的に、経営者の代わりに内部監査人が評価を実施し、その結果を基に経営者が内部統制が有効に機能しているかを判断する。

コントロール

　統制。リスクに対する予防や低減策のこと。軽微なリスクと判断した場合は「受容する」というのもコントロールに該当する。影響度の大きいリスクに対するコントロールを「キー・コントロール」と呼ぶ。

システム管理基準追補版

　J-SOX対応企業向けに、IT統制の整備・運用方法を示したガイドライン。実施基準の内容や日本企業のシステム部門の実態に即した形式でリスクや統制を記述している点が特徴。経済産業省が作成した。正式名称は「システム管理基準追補版（財務報告にかかるIT統制ガイダンス）」。経済産業省のWebサイトからダウンロードできる。