内部統制(J-SOX法・日本版SOX法)導入支援コンサルティング

「文書化」とはどこまでを意味するのでしょうか?

基本的には「業務フローチャート」「業務記述書」「リスクコントロールマトリクス」をさしますが、その他にも広い意味では、統制整備としての、会社の方針やルールを明文化するという「文書化」もあります。企業としての目的や方針、規程などや、それに基づき実際の業務で使用する基準や業務手順、業務体制などが必要です。

監査法人が違うと提出書類やフォームが異なると聞いたのですが?

監査法人別に様々な見解があり基本は同じですが細部は異なることが多いのが現実です。故に内部統制構築の際には監査法人との細かな打ち合わせ（確認）が重要になります。

監査法人はコンサルティングはできないのですか?

コンサルティングはできません。あくまでもアドバイス的なことしか行えず、本格的な仕組みを構築するのは企業そのものです。

3点セット(業務フロー、業務記述書、RCM)は必須ですか?

必須ではありません。政府が推奨しているだけであり、可視化できる水準であるということだけです。故に、その他の方法があれば、同水準で内容を網羅してあれば企業オリジナルのもので代用可能です

IT統制とは具体的にはどういうことですか?

IT統制とは大きく「IT業務処理統制」と「IT全般統制」に区分されます。
「IT業務処理統制」とは、業務プロセスの一部をITが担っている中で、そのERP等のアプリケーションやIT環境が持つ認証や牽制機能、不正データチェックや外部インターフェースの完全性確保、監査証跡管理などをいい、これらは業務処理統制の一環として業務プロセスの有効性を確保することが求められます。一方「IT全般統制」とは、IT戦略策定やIT組織、アクセス権管理、ITリスク評価、情報資産管理などの「IT組織レベル統制」と、開発・変更管理、IT資産管理、インフラ変更管理、セキュリティ管理、障害管理、運用管理、外部委託先管理などの「IT業務プロセスレベル統制」とがあります。

金融商品取引法について教えてください。

金融庁が2006年月に提出した法案で、金融先物取引法、証券取引法などを大幅に改正し統合した法律です。その中で内部統制を義務化しているわけですが、それとは別に会社法でも内部統制は義務化されています。

リスクマネジメントとはどういうことですか?

一般的には危機管理と訳されます。リスクとは「危険」や「危機」を意味し、かってはマイナス面の影響を表していましたが、現在はマイナス面の影響を最小化することがプラス面に影響を及ぼすことから、リスクに対する予防・対応が必要という認識に変わりつつあります。

COSOキューブって何?

レッドウェイ委員会組織委員会が内部統制のポイントを立方体の図でまとめたものをいいます。3つの目的と5つの要素からなりたっており、内部統制構築においての最もスタンダードな枠組みとして知られている概念図です。日本版COSOは4つの目的と6つの基本的要素が一般的です。

ITガバナンスとは?

企業がITを導入するときに戦略、目的、方針を明確に定めた上で、システムを組織的に構築、活用する仕組みを作るためのリーダーシップやプロセスのことを言います。