4
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

監査のお話

Last updated at Posted at 2023-12-01

概要

自分の業務内容の中で監査対応の割合が高くなったので
脳内整理も兼ねてここにざっくりと記します(ざっくりね)。
今回はJ-SOXについて。

J-SOXとは?

超シンプルに言うと、上場企業が守らなければならない制度(法律)です。

アメリカにはSOX法という
「企業の会計不正行為や不透明な決算報告などを防止する」
ために定められた法律があり、J-SOXはそれの日本版にあたります。

もう少し砕くと
会社の持っているお金、取り扱っているお金が
・不正に使われたり
・水増しして申告されたり
することを防ぐために
①不正行為ができないようにシステム上/業務上のルールを作って
②そのルール通りにシステムが動いている/業務が行われている
ことをその会社自身がチェックし、その結果を財務局へ報告する
 内部統制報告制度 です。

また、内部統制にもいくつか種類があるのですが
ここからは、自分が関わっているIT統制についてのお話です。

IT統制について

IT統制は主に
・IT全般統制(ITGC)
・IT業務処理統制(ITAC)
があります。
※ITELCというのもありますが今回は省きます

ITGC(IT General Control)

おおまかに言うと
業務に利用しているシステムが、内部/外部問わず不正利用されないための
①仕様/ルールが作られている
②仕様/ルール通りに運用されている
ことをチェックします。

ITAC(IT Application Control)

おおまかに言うと
自動化された業務プロセスが、正確に処理/記録されるための
①仕様/ルールが作られている
②仕様/ルール通りに運用されている
ことをチェックします。

ITGC/ITACのどちらも、RCM(Risk Control Matrix)というもので評価します。

RCMって何?

なんとなくで伝えると、評価対象のシステム/業務プロセスについて
①想定されるリスクを考える
②そのリスクの対処法を考える(内部統制手続)
③対処するためのルールを決める(整備)
④ルール通りに運用する(運用)
を記載し、①~④を評価するためのツール(資料)です。

RCMの中身については「RCM フォーマット」とかでググれば
いくらでも出てくるので気になる方は調べてみてください。

結局J-SOXってどういうこと?

つまり、上場企業としてJ-SOX法を遵守するために
①内部統制をしっかりやる
②内部統制について評価し、内部統制報告書を作成する
③内部統制報告書を監査人(監査法人等)に見てもらい、監査証明をもらう
④内部統制報告書と監査証明を財務局へ提出する
というプロセスが必要なのです。

他にも
・子会社も併せて統制/評価しないといけない
・業界によっては他にも監査がある(特に金融とか)
とか色々ありますが、それはまた別のお話。。。

(3点セットの話とかもあるけど書きません。気になる人は調べてみてください)

4
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
4
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?