• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

J-SOX 追い込み

報告書は現場作成の文書を積み上げて作る

島田 優子=日経コンピュータ 2009/03/26 日経コンピュータ
出典:日経コンピュータ 2009年1月1日号pp.89-91
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

内部統制報告書を作成するのはそう簡単でない。まず情報システム部門を含む現場が文書を作成し、それを集約する流れとなる。

 不備の修正と並行して実施しなければならないのが、内部統制報告書を作成するための文書を用意することだ。2008年までニューヨーク証券取引所に上場していたため米SOX法に対応してきた経験を持つNISグループ。同社の平哲博システム企画部長が「米SOX法対応の最後の3カ月間は文書の作成に注力していた」と証言するように、この工数は予想以上に多い。

 内部統制報告書は最終的に、経営者が自社の内部統制の有効性を確認して作成するものである。しかし、連結グループ企業の数が多かったり、海外に散らばっていたりすると経営者だけで全体の評価結果を確認することは難しい。グループ企業が少なくても、複数の事業を抱えJ-SOX対象プロセスが多い企業では、やはり困難だろう。

 そうした企業では、販売や購買、ITといった現場の業務プロセス評価担当者が自分の担当範囲における“報告書”を作成。それらを集約して経営者に渡し、企業全体における内部統制運用状況の有効性を評価してもらうのが一般的だ。

 経営者の評価結果が正しいかを監査人が監査する際、経営者が作成した内部統制報告書だけではなく、現場の担当者が作成した文書も確認する。現場の作成する文書から、内部統制報告書は始まっている(図1)。

図1●内部統制報告書を作成するまでのプロセス
システム担当者も報告書作成のための文書を作成する可能性がある
[画像のクリックで拡大表示]

ITでも財務報告に結びつける

 IT全般統制にかかわる評価結果の文書は、IT全般統制の評価担当者が作成することになる。各プロセスの評価結果を記述する文書の量はあまり多くない。「A3判の紙で3、4枚程度だった」とNISグループの平部長は説明する。記述する内容は、テスト結果、テストした際に発見した不備の修正計画、最終的に内部統制が有効と判断できるかの判断結果、などだ。

 量的には多くないのに作成に時間がかかる理由は二つある。一つは「単なる不備の内容の記述では済まない」(NRIの堤グループマネージャー)こと。J-SOX対応は「財務報告に誤りがない」と保証することを求めている制度。IT全般統制であっても、「財務報告にかかわる形で評価結果を書く必要がある」(同)。

 IT全般統制に不備があった場合は、「影響の連鎖を想像しながらでないと財務報告に結びつけることは難しい」と堤グループマネージャーは話す。システムの変更管理を正しく実施しているか確認できていない→販売システムに誤った処理や不正な処理が紛れ込んでいる可能性がある→売上高の計上が間違っている可能性がある―といった具合だ。

次ページ以降はITpro会員(無料)の方のみお読みいただけます。

次ページ コミュニケーションで効率化
  • 1
  • 2

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る