概要
自分の業務内容の中で監査対応の割合が高くなったので
脳内整理も兼ねてここにざっくりと記します(ざっくりね)。
今回はJ-SOXについて。
J-SOXとは?
超シンプルに言うと、上場企業が守らなければならない制度(法律)です。
アメリカにはSOX法という
「企業の会計不正行為や不透明な決算報告などを防止する」
ために定められた法律があり、J-SOXはそれの日本版にあたります。
もう少し砕くと
会社の持っているお金、取り扱っているお金が
・不正に使われたり
・水増しして申告されたり
することを防ぐために
①不正行為ができないようにシステム上/業務上のルールを作って
②そのルール通りにシステムが動いている/業務が行われている
ことをその会社自身がチェックし、その結果を財務局へ報告する
内部統制報告制度 です。
また、内部統制にもいくつか種類があるのですが
ここからは、自分が関わっているIT統制についてのお話です。
IT統制について
IT統制は主に
・IT全般統制(ITGC)
・IT業務処理統制(ITAC)
があります。
※ITELCというのもありますが今回は省きます
ITGC(IT General Control)
おおまかに言うと
業務に利用しているシステムが、内部/外部問わず不正利用されないための
①仕様/ルールが作られている
②仕様/ルール通りに運用されている
ことをチェックします。
ITAC(IT Application Control)
おおまかに言うと
自動化された業務プロセスが、正確に処理/記録されるための
①仕様/ルールが作られている
②仕様/ルール通りに運用されている
ことをチェックします。
ITGC/ITACのどちらも、RCM(Risk Control Matrix)というもので評価します。
RCMって何?
なんとなくで伝えると、評価対象のシステム/業務プロセスについて
①想定されるリスクを考える
②そのリスクの対処法を考える(内部統制手続)
③対処するためのルールを決める(整備)
④ルール通りに運用する(運用)
を記載し、①~④を評価するためのツール(資料)です。
RCMの中身については「RCM フォーマット」とかでググれば
いくらでも出てくるので気になる方は調べてみてください。
結局J-SOXってどういうこと?
つまり、上場企業としてJ-SOX法を遵守するために
①内部統制をしっかりやる
②内部統制について評価し、内部統制報告書を作成する
③内部統制報告書を監査人(監査法人等)に見てもらい、監査証明をもらう
④内部統制報告書と監査証明を財務局へ提出する
というプロセスが必要なのです。
他にも
・子会社も併せて統制/評価しないといけない
・業界によっては他にも監査がある(特に金融とか)
とか色々ありますが、それはまた別のお話。。。
(3点セットの話とかもあるけど書きません。気になる人は調べてみてください)