「受託業務のセキュリティ・可用性・処理のインテグリティ・ 機密保持に係る内部統制の保証報告書」の公開草案

先日、5月21日付で、日本公認会計士協会（ＩＴ委員会）から、ＩＴ委員会実務指針　「受託業務のセキュリティ・可用性・処理のインテグリティ・ 機密保持に係る内部統制の保証報告書」 の公開草案が公表されました。

http://www.hp.jicpa.or.jp/specialized_field/post_1684.html

証券取引法の求める内部統制監査（いわゆるJ-SOX）においては、委託業務が、企業の重要な業務プロセスの一部を構成している場合、当該業務を提供している外部の受託会社についても、その内部統制の有効性を評価しなければなりません。

しかし、この規定を受託側の会社から見てみると、委託元、つまり個々の得意先からの調査要求に個別に対応しなければならず非効率です。
そこで、第三者から委託業務に関連する内部統制の評価報告書を入手し、これを委託者に提供することで評価の代替手段にできます。

この報告書について、財務報告を目的とするものについては、監査・保証実務委員会実務指針第86号「受託業務に係る内部統制の保証報告書」 にしたがいますが、今回公表された実務指針は、財務報告以外の、いわゆるIT統制部分の評価を対象とするものです。

この業務は「保証」業務のため手続きも厳格であり、大手の監査法人さんが受託の中心になっています。
取得を試みたものの結構な費用がかかるため、取得を断念された企業も多いと思います。

このように実務指針が整備され、業務が標準化されていけば、対応可能な監査人も増えていくでしょう。

なお、公開草案への意見募集期日は平成25年6月10日までです。

「内部統制Q＆A 3訂版」「内部統制事例集」の公表

このたびの東北地方地震により、お亡くなりになられた方々のご冥福と被災された方々の一日も早い復興をお祈りいたします。

昨日（3月31日）、金融庁から「内部統制報告制度に関するQ&A」の3度目の改訂版が公表されました。
http://www.fsa.go.jp/news/22/sonota/20110331-11.html

新たに
（問85）　財務諸表の信頼性に重要な影響を及ぼす開示事項等
（問86）　在外関連会社の評価
を追加するとともに、内部統制基準等の改訂に合わせて一部の問いが削除されています。

また、同日付で「内部統制報告制度に関する事例集」も公表されました。
http://www.fsa.go.jp/news/22/sonota/20110331-10.html

これは、中堅・中小上場企業における内部統制報告の効率化を主たる目的としたもので、IT統制に関して、
（事例4-1）IT統制の本社（親会社）への集中
（事例4-2）ITを利用した内部統制の整備状況評価におけるチェック・リストの活用
（事例4-3）ITに係る業務処理統制の評価
の３つの事例が掲載されています。
特に、（事例4-2）では、全社的な内部統制に関するチェックリスト例が挙げられており、参考になります。

内部統制府令の改正案公表

本日、2月1日、金融庁から内部統制府令及び同ガイドラインの改正案が公表されました。

http://www.fsa.go.jp/news/22/sonota/20110128-7.html

これは、昨年12月22日、企業会計審議会内部統制部会による内部統制基準及び実施基準公開草案の公表を受けてのものです。

http://www.fsa.go.jp/news/22/sonota/20101222-7.html

今後、従来の「重要な欠陥」は、「開示すべき重要な不備」と表現されます（内部統制府令案　第2条第10号）。
新しい内部統制府令は、平成23年4月1日以後開始する事業年度からの適用が予定されています。

しかし、「開示すべき重要な不備」は、字数が長すぎますねえ。これからは、適当な略語が使用されるのでしょうか？

ＩＴ委員会研究報告第31号の改正

2010年6月9日付で、日本公認会計士協会から、「ＩＴ委員会研究報告第31号「ＩＴ委員会報告第３号「財務諸表監査における情報技術（ＩＴ）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Ｑ＆Ａ」」の改正が公表されました。

http://www.hp.jicpa.or.jp/specialized_field/31_8.html

今回追加されたＱ＆Ａは、思わず「あるある」とうなづいてしまうような実務上の問題点ばかりですので、ＩＴ統制業務に携われている方々にとっては、必読の改正であります。

内部統制報告書 初年度提出状況

本日、7月7日付けで金融庁より「平成２１年３月決算会社に係る内部統制報告書の提出状況について」が公表されています。

http://www.fsa.go.jp/news/21/syouken/20090707-6.html

既に、7月2日の日経新聞において、内部統制初年度の提出概況は報道されていますが、最終的な集計結果はこちらの数字を参考にされるのがよろしいと思います。
なお、重要な欠陥が指摘された会社数は56社で、日経新聞の報道と同数であり、全体の2.1％にあたります。米国では適用初年度に重要な欠陥（Material Weakness）が指摘された会社の割合は15％程度といわれていますので、我が国における重要な欠陥の判断はかなり限定的なケースに絞られているようです。

この状況は、2009年4月2日付けで金融庁から公表された「内部統制報告制度に関するQ&A」の再追加分が監査人の意見形成に与えた影響の結果と言えましょう。

内部統制報告制度に関するQ&Aの再追加

2009年4月2日付けで、「金融庁から内部統制報告制度に関するQ&A」の再追加分が公表されています。現在、各社で行われている最終意見の形成に影響を与えうる内容になっていますので、SOX法業務に関係されている方々は、必ず、ご確認ください。

http://www.fsa.go.jp/news/20/syouken/20090402-1.html

内部統制監査に関する実務上の取扱いの改正

2009年3月23日付けで、日本公認会計士協会より、監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」が改正されました。

http://www.hp.jicpa.or.jp/specialized_field/82_3.html

2009年1月23日付けで公表された公開草案から大きな変更はないようです。
https://iwatani-c.cocolog-nifty.com/blog/2009/01/post-bab8.html

公開草案で変更された「10.(3)ITに係る全般統制の不備の検討」の記載は、最終版も公開草案から変更はありません。
3月決算企業は、初年度内部統制評価の意見を取りまとめているところだと思いますが、重要な欠陥の最終的な判断については、改正後の当委員会報告をご参照ください。

個人的には、「11．内部統制の重要な欠陥　(6)　①業務プロセスに係る内部統制の不備による虚偽記載の発生可能性の検討」の文中にある、「不注意によりたまたま逸脱が発生したという場合」という表現は見直されると思っていたのですが、最終版でも「たまたま」は残っておりました（どんな不備も「たまたま」だと思うのですが）。

監査に関する実務上の取扱い（公開草案）

2009年1月23日付けで、日本公認会計士協会より、監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」の改正の公開草案が公表されています。

http://www.hp.jicpa.or.jp/specialized_field/82_2.html

金融庁から提出されたＱ＆Ａ等の内容を受けて、主に、重要な欠陥の判断基準、内部監査人の作業結果の利用時の留意事項と監査報告書の例示等が追加されています。

IT関係では、「ITに係る全般統制の不備の検討」の記載が以下のように変更されている点に注意してください(下線部分が修正箇所です）。

ＩＴに係る全般統制の不備の検討
ＩＴに係る全般統制は、ＩＴに係る業務処理統制の継続的な運用を確実にすることを間接的に支援するものであり、ＩＴに係る全般統制に不備があれば、関連するすべてのＩＴに係る業務処理統制に影響し、有効に機能しない可能性があるため、虚偽記載が発生するリスクが高まる場合がある。
ＩＴに係る全般統制の不備は、それ自体が財務報告の重要な事項に虚偽記載が発生するリスクに直接繋がるものではないため、それだけでは不備の程度を判断することはできない。まず、代替的又は補完的な他のＩＴに係る全般統制により、目的が達成されているかを検討する。目的が達成されないと判断された場合には、そのＩＴに係る全般統制が支援するＩＴに係る業務処理統制にどのような影響を及ぼすかを検討する。業務プロセスにおける関連するＩＴに係る業務処理統制が現に有効に機能していることが検証できれば、ＩＴに係る全般統制の不備が直ちに重要な欠陥と評価されるものではないことに留意する。なお、ＩＴに係る業務処理統制に重要な欠陥が識別され、それがＩＴに係る全般統制の不備に起因すると判断された場合には、当該ＩＴに係る全般統制の不備も合わせて重要な欠陥と判断される。

なお、公開草案への、コメント締め切りは2月20日です。

IT委員会研究報告第31号の改正

2008年11月5日付けでIT委員会研究報告第31号「IT委員会報告第３号「財務諸表監査における情報技術（IT）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Ｑ＆Ａの一部改正が行なわれています（ご報告が遅れて申し訳ありません）。

http://www.hp.jicpa.or.jp/specialized_field/main/31_4.html

主要な改正ポイントは、スプレッドシート統制について質問が追加された点です。
「Ｑ19：スプレッドシートに関する統制リスクの評価手続の留意点にはどのようなものがあるのでしょうか。」

SOX法対応において、スプレッドシートへの統制をどのレベルまで行なえばよいかは、いずれの会社も頭を悩ます問題です。
従来、スプレッドシートの管理について言及している基準類は、「財務報告に係る内部統制の監査に関する実務上の取扱い」9(3)③と経済産業省の「システム管理基準　追補版」第Ⅳ章4(4)だけでしたが、今後は、このIT委員会報告Q&A　Q19も参考になるでしょう。

内部統制Q&A追加版の公表

昨日6月24日付けで金融庁から「内部統制報告制度に関するQ&A」の追加分が公表されました。

http://www.fsa.go.jp/news/19/syouken/20080624-3.html

今回の追加分は、実務上の問題に的確な答えを提供しおり、SOX法対応業務に従事されている方々には必読の資料です。
何点か気になるQuestionをピックアップしておきます。

（問28）【僅少な業務プロセスの評価】
重要な事業拠点における企業の事業目的に大きく関わる勘定科目に至る業務プロセスについて、どんなに小さな業務プロセスでも評価対象としなければならないのか。例えば、それらの売上高を合算しても、連結売上高の５％以下となる業務プロセスについては評価の対象にしないといった方法をとることは問題とならないか。

（答）　
（一部略）　例えば、企業の事業目的に大きく関わる勘定科目の一つである売上について、売上に至る業務プロセスの金額を合算しても、連結売上高の概ね５％程度以下となる業務プロセスを、重要な事業又は業務との関連性が低く、財務報告に対する影響の重要性が僅少なものとして評価の対象からはずすといった取扱いがありうるものと考えられる。

（問43）【重要な欠陥の判断（監査人に対する照会・相談）】
監査人に対して、会計処理についての照会・相談を多く行っている企業は、信頼性のある財務報告の作成に必要な能力が不足していると判断され、重要な欠陥に該当するのか。

（答）
企業が監査人に対して会計処理についての照会・相談を行うことは、これまでの財務諸表監査の実務でも行われてきたことと承知しており、財務諸表等の作成はあくまで企業・経営者によって行われるとの前提の下に、複雑な取引が発生した場合の会計処理について監査人に対して照会・相談を行うことは必ずしも重要な欠陥に該当するものではない。

監査する側としては、次の問と答えが気になります。

（問67）【評価範囲の外から重要な欠陥が発見された場合の取扱い】
経営者は、基準及び実施基準に準拠して決定した評価範囲について評価を実施したが、内部統制報告書を提出した後に、結果的に、当該評価範囲の外（例えば、その売上高が連結ベースの売上高の概ね３分の２程度に入らない連結子会社）から重要な欠陥に相当する事実が見つかった場合には、内部統制報告書に記載した評価結果を訂正しなければならないのか。また、この場合、監査人が内部統制監査報告書において無限定適正意見を表明していたときには、監査意見も訂正しなければならないのか。

（答）
１．経営者が、基準及び実施基準に準拠して決定した評価範囲について評価を実施している場合においては、内部統制報告書を提出した後に、結果的に、評価範囲の外から重要な欠陥に相当する事実が見つかったとしても、内部統制報告書に記載した評価結果を訂正する必要はないと考えられる。（以降略）

自社の問題点解決に頭を悩ませる前に、まずはこのQ&Aを読んでみてください。

私事で、恐縮ですが、このQ&Aを読むと、2年前に指摘していた通りの状況になったなあと感慨深いです。

P.S こちらもご一読をおすすめします　「国語　算数　理科　しごと」