IT経営戦略バイブル

今回は、「業務環境分析・主要課題抽出」での主要課題の抽出、すなわちSWOT分析
での「CSFの抽出」を取り上げます。この方法も一般の企業環境で行う場合と異なる
方法で策定していますので取り上げてみようと思います。
SWOT分析の業務環境分析で発想した強み/弱み要因、機会/脅威要因は各要因の象限
ごとにKJ法注を用いて同種類の要因をグルーピング化し、可能であればより大きな
グループとして括りラベルをつけます。
（注）KJ法：河喜田二郎氏の考案した問題解決方法である。各人の考え方をカードを
使って一枚の図にグループ化して整理し、全体のグループの関係を見ながら討議して
発想する方法。
その後、その象限でグループ化された要因の間での象限内、象限間での関係付けを
行います。関係付けは3種類の記号を使用して行います。
URLはここです。⇒http://www.e-gov.go.jp/doc/060331/doc5.pdf　の２２ページ
★因果関係（片方向）記号：グループ要因間の関係が因果関係にある場合に使用し
ます。矢印を送る側が原因、受ける側が結果として矢印の関係で記述します。
原因側の要因が重要課題要因となる。
★因果関係（双方向）記号：グループ要因間の関係がお互いに因果関係にある場合
に使用します。どちらかの要因に重要課題要因がまとめられることもあります。
★相反関係記号：グループ要因間の関係が相反する関係にある場合に使用します。
それぞれの要因が重要課題要因となります。
例えば、行政における業務は法律に従って業務が進められるため、手順や責任体制
は明確に定義されています。しかし、そのことが時流変化への迅速な対応を不可能
にしている。これらの事情は相反した事象要因となります。
SWOT分析で関係付けられた要因関係図をEAでは業務環境分析図といいます。
これらの関係から重要成功要因であるCSFを創出していきます。
CSFの発想のポイントは
★強み象限では“「強み」をさらに強化するための対応策”
★弱み象限では“「弱み」を克服するための対応策”
★機会象限では“「強み」により「機会」を取り込む又は逸しないための対応策”
★脅威象限では“「強み」により「脅威」を「機会」に転換するための対応策”
として捉えます。

一般の企業環境でのSWOT分析では、内部環境要因の強み/弱み要因と外部環境要因の
機会/脅威要因を組み合わせて発想するのですが、EAでは各要因の象限およびその要因
象限間でそれぞれの対応策を考えていきます。これは、企業環境でのビジネスの観点
でなく、業務プロセス改善のSWOT分析の使用によるものです。なぜなら、ビジネス
環境では、強みをより強化しようとしても、機会の時流が無い限り強化の意味があり
ません。SWOT分析をビジネス環境で使用するか、業務プロセスで使用するかの環境の
違いです。

第１３１回はここで終了します。
今回は「見直し方針プロセス－業務環境分析・主要課題抽出その２」を取り上げま
した。
次回は「見直し方針プロセス－内部管理業務見直し方針」をとりあげます。

Comments(0)

EAの「内部管理業務見直し方針」での方針は129回で紹介しましたガイドラインが
基本になります。すなわち、このステップでは抽出された主要課題から改革/改善
に向けての基本理念を策定することになります。この基本理念というのは改革/改善
へ向けての考え方と言う程度に捉えてよいと思います。政策目標のシステム開発・
運用予算を削減することである「予算効率の高い簡素な政府の実現」、「業務の
効率化・合理化、利便性の維持・向上、安全性・信頼性の確保及び経費削減」の
ためには国民がユビキタス環境下で利用し易く、且つ業務プロセスでITに置き換え
られるところは出来るだけ置き換え、人手による業務費用を出来るだけ削減して
いくことになります。この考え方を基本にして主要課題からまとめていくわけです。

このための見直し指針がガイドラインにまとめられています。
ただ、お分かりのように、予算以内で国民の使い易い業務システム化を目指すわけ
ですから、業務改革の基本方針は「標準化・統合化」、「電子化」、「業務アウト
ソーシング」の3点に焦点が当った基本方針となります。
例えば、「標準化・統合化」という観点ですと、共通業務は各府省で独自の処理
形態になっていますし、資料やデータの保存形態も異なっていますので、「○○業務
プロセスの標準化」や「○○業務データベースの一元化」という方針のもとに、
目標値（行政目標と言いますが）として削減工数や処理リードタイム等が設定され
ます。
「電子化」の観点は業務の効率化・合理化、利便性の維持・向上に重点が置かれた
ことになります。やたらと多い申請書類の添付資料や紙媒体による承認プロセスを
如何に減少させ国民の利便性を向上させるかがポイントになります。「添付書類の
電子媒体化」、「インターネットによる電子申請化」、「承認プロセス電子化」
などが方針として設定されることになります。
「業務アウトソーシング」の観点では、業務自体の民間委託や情報システムの民間
委託などが経費削減や効率性、信頼性を向上させることになります。
例えば、国家試験業務の試験の監督業務、問題と解答用紙の回収・保管・配送業務
では民間委託とそうでない省庁が混在します。従来の規程では省庁間の共通基準が
出来ないためにその状態が発生しているわけです。また、省庁の職員は業務専門家
のみでしたので、情報システムは全てのフェーズが任せっぱなしになり予算上、
運用上の問題をはらんでいたわけです。方針としては、任せっ放しではない「民間
委託可能業務のアウトソーシング」や情報システムの企画・設計の省内機能として
取り込み、「情報システム下流工程のアウトソーシング」などが方針として設定
されることになります。

第１３２回はここで終了します。
今回は「見直し方針プロセス－内部管理業務見直し方針」を取り上げました。
次回は「見直し方針プロセス－３フェーズプランニング」をとりあげます。

Comments(0)

「内部業務見直し方針」を受けて、この3フェーズプランニングを行います。私たち
の一般的な言葉で言い換えますと、業務改善方針（すなわち主要課題）を受けて
その方針に沿った改善策を今後3期または3段階のスケジュールに展開するということ
です。
SWOT分析によって創出したCSFは内部業務見直し方針を作成する際にCSFを参照します
ので、主要課題ごとに整理されています。この主要課）ごとにその課題達成のための
CSFロードマップを作成します。
参照URL：http://www.meti.go.jp/policy/it_policy/ea/data/report/r2/r2.pdf　
の62ページ
このロードマップの作り方はバランススコアカードで作成する戦略マップの作成方法
と同じです。場戦略マップと同様にCSFを「目的―手段」の因果関係で繋いでいき
ます。例えば、「データ項目の抽象化手法を選択」という手段はその手法を用いて
目的の「○○業務情報の項目抽象化」が可能になり、またその手段はその目的として
の「○○業務のデータベース一元化」を導くことが出来ます。戦略マップと同様に、
その手段を採用することである目的が達成されます。　さらに、その目的が手段と
なってその上位の目的が達成されるという連携で主要課題達成のロードマップを作成
していくわけです。
当然、CSFを連携していく中で、連携できない漏れのCSFがあることも気づきます
ので、追加していきます。
このようにして作成した主要課題解決のロードマップは実施順序を決め、スケジュー
ル化しなければなりません。このロードマップ全体を3フェーズに分割して3フェーズ
プランを作成します。3フェーズプランの考え方は事業計画やシステム導入等で実施
作業を3段階にわけ各フェーズで投資対効果が見極められるようにすることと
各フェーズの中間目標を測定することで経営リスク等のリスクを減少させる意味が
あります。
ただ、EAの場合ですと、最適業務・システムの構築になるわけですから対象が業務
プロセスです。業務プロセスは「計画」、「分析・設計」、「構築・導入」、
「検証」、「改善・対処」のステップを踏むことになりますので、１ｓｔフェーズは
「計画」、「分析・設計」、2ndフェーズは「構築・導入」、3ｒｄフェーズは
「検証」、「改善・対処」の順に最適化実施のロードマップが作られることになり
ます。
この3フェーズで将来体系への改善方針としての主要解決課題、目標と実施事項が決定
されることになりますので、将来体系の設計へ移ることになります。

第１３３回はここで終了します。
今回は「見直し方針プロセス－３フェーズプランニング」を取り上げました。
次回は「将来体系設計プロセス－将来体系作業の留意点」をとりあげます。

Comments(0)

前回までで「見直し方針」を作成しました。見直し方針ではあるべき業務・システム
のための方針と目標を決めましたので、その方針に沿って「将来政策・業務体系
（BA）」、「将来データ体系（DA）」、「将来適用業務体系（AA）」、「将来技術体系
（TA）」をまとめることになります。
作業内容は現行体系のプロセスでまとめた体系図を見直し方針に沿って置き換える
ことになりますので使用する手法や体系図作成作業は同じになります。
ここでは現行体系プロセスと異なる将来体系作業における留意点とEEM2（Event　
Entity　Matrix　２）について述べておきます。
留意点としては、
（１）見直し方針を生かした全体イメージを作成します。
　 皆さん方もお客向けに提案書を作成するときに、提案するシステムの全体イメージ図
を描かれると思います。そうすることで、提案システムの改革イメージを統合化
できます。同様なイメージ図を将来体系にも作成することで４つの将来体系の作成が
統一できます。18府省を束ねる共通業務を例に取りますと、盛り込む内容は「国民の
窓口になるポータルサイトの主要機能とポータルサイト以外の機能」、「抽象化
（または共通化）されたIT化対象プロセス」、「主要なデータベース」、「各府省と
のシステムインターフェース」となります。

（２）住基ネット（住民基本台帳ネットワークシステム）をシステムに組み込みます。
　 国民とのインターフェースがインターネットになってきますので、申請者や依頼者が
日本国民であることをチェックするためには住基ネットを活用し、検証や証明用と
することは必須となります。
現在も本人の日本国民を確認するために登記簿謄本や抄本、住民票等の添付が必要
な場合が多くあります。この添付資料が電子化を阻害してしまいます。

（３）承認・決裁プロセスに電子認証の取り込みを行う。
　 府省業務が民間業務と異なるのはいくつもの段階で承認、そして最終的な決済と
いうように押印プロセスがあることでしょう。
国家試験業務を見ても、○○小委員会が発足し原案が作成され、原局承認、審議会
で検討承認、官房決裁というように各専門家の集まり、依頼元の原局担当者、責任
者、外部公表時の官房承認というように、役割ごとに内部・外部からの検証が加え
られて法律や制度をつくり運用しています。この承認がｅ－Ｊａｐａｎ前は紙に
承認印または決裁印を押すことが必要でした。○○委員や審議会と言った外部機関
に対しては電子化が無理な状態が発生しますが、府省内の承認・決裁プロセスの
電子認証化を進めていくことになります。

（４）モニタリングのビジネスプロセス構造を確保します。
業務プロセス改善のために、業務が以前目標に対する情報の収集と検証のプロセス
を組み入れます。さらに、国民からサービス提供に対するパブリックオピニオン
（公開質問受付）の機能を付け加えておくことが必須要件となります。

第１３４回はここで終了します。
今回は「将来体系設計プロセス－将来体系作業の留意点」を取り上げました。
次回は「将来体系設計プロセス－業務プロセス設計の抽象化」をとりあげます。

Comments(0)

127回、128回でEEM（Entity Event　Matrix：情報分析図）とDAM（Data　
Abstraction　Matrix：情報抽象化表）を取り上げました。
それぞれ現行体系で、共通業務として複数の府省の独自の処理をまとめるために
抽象化して最小公倍数的な機能を持たせて記述するために採用した抽象化の技法で
した。それぞれDAMが各府省の独自のデータ項目を共通のデータ項目とするために
抽象化、EEMはトランザクション出力情報に必要なマスターファイルのデータの関係
付けを行い、業務と情報の妥当性を確認するものでした。
現行体系では現状を把握するために使用しましたが、将来体系の情報分析図として
EEM１をもとにEEM2へ拡張して作成します。今回はこの抽象化概念を取り上げようと
思います。
EEM２の作成の位置づけは将来体系のDMM（Diamond　Mandara　Matrix：機能構成図）
→DFD(Data　Flow　Diagram：情報機能関連図)を作成後、DAM （Data　Abstraction
　Matrix：情報抽象化表）をより抽象度を高めで作成し、EEM2（Entity Event　Matrix
２）の作成となります。その後、WFA（Work　Flow　Architecture:業務流れ図）→
情報モデルとしての情報体系整理図の作成順序になります。

EEM2を話す前に将来体系のDAMを取り上げましょう。EEM１で共通業務として複数の
府省を整理するためにデータフィールド名称を統一する話をしました。
例えば、承認者を○○承認者や××承認者、あるいは○○課長と言うように各府省で
同じ機能でも全く違った名称で使用されていたフィールド名称を“承認者”という
ようなフィールド名称に統一することです。この考え方をEEMのトランザクション
プロセスと組み合わせるとモット大胆な抽象化が可能となります。
例えば、「申請受付処理」、「申請承認・却下処理」、「申請許諾回答処理」が
あったとしましょう。各処理で承認者がいるはずです。そうしますと、フィールド
名称は申請受付承認者、申請承認・却下承認者、申請許諾回答承認者という風に
3種類のフィールド名称が必要になります。しかし、ここに処理コードを入れると
１つの名称でよいことになります。“承認者”というフィールド名称にして、処理
タイプコードとして、各処理コードをそれぞれ“０１”、“０２”、“０３”を
設けることによって、０１の処理をしているプログラムは同じ承認者のデータ
フィールドを扱っていても“申請受付承認者”を扱っていることを意味することが
可能になります。同様に、承認者という名称フィールドに加え、全く別の担当者や
監督者、管理者、社員等人にまつわる名称がたくさん出てきます。
ただ、ある処理では“承認者”と“監督者” を使用するが、別の処理では“社員”
と“管理者”しか使用しないという状況があります。
このような場合の抽象化は人タイプコードを設けてフィールド名称を“担当者”、
“監督者”等にまとめ、人タイプコードを“H1”、“H2”と言う風にコード付けし
ます。そうすると処理タイプコードと人タイプコードのマトリックステーブルを作成
しておけば、ファイルのフィールド項目は格段に抽象化された項目で処理が可能と
なります。
このことはプログラム作成において単純なI/Oで処理ロジックを作成できるとともに、
ユーザーはマトリクスのメンテナンスのみでシステム維持・管理の容易なシステム
運用を可能とすることになります。
EEM2の構造はこの抽象化されたデータフィールド項目を立軸にとり、横軸にトラン
ザクション処理を配置することでトランザクション処理にデータ項目の関係を関連
付けた設計書が出来上がります。
実際の将来体系ではEEM1までの作成で完了になり、EEM2の拡張は行われていません
でした。
概念としては、非常にすばらしいのですが、設計者が追いついていけないところに
原因があったようです。
第１３５回はここで終了します。
今回は「将来体系設計プロセス－業務プロセス設計の抽象化」を取り上げました。
次回は「移行計画の作成」をとりあげます。

Comments(0)

　いよいよ「業務・システム最適化計画」の最終ステップである移行計画です。
業務・システム最適化計画はこのフェーズまでがまとめられて、調達のステップであるRFP（Request　For　Proposal）へと進みます。

　ここでの移行計画は通常いうシステムの本番移行とは若干意味合いが異なります。

IT新改革戦略でも電子政府システム構築完了を2010年としているわけですから、2006年から調達を開始しているシステムは今後5年間を3フェーズに分割して導入していくことになります。

将来体系はあるべき姿を描いていますので、3フェーズを経て現行体系から将来体系へ移行していくことになります。

例として、ある国家試験の願書受付業務の将来体系が「インターネットによる願書ダウンロードとインターネットによる願書申請」であったとしましょう。

この形態ですと業務工数もスピードも格段に向上すると思われますので、この方向を将来体系の業務とします。そうしますと、いろんな問題が発生してきます。

国家試験は誰でも受験資格がありますので、“インターネットが出来ない人やその接続環境の無い方は受験できません。”とは言えないわけです。

また、インターネットだけでは不安なので窓口に来て相談される方も有りますし、身障者や僻地の方もいます。“何時、窓口受付業務を停止し、インターネットとTELだけの状態に持っていくか”など課題が出てきます。

そうしますと、5年後のあるべき姿としては、“窓口受付や郵送受付は残し、インターネットによる願書申請を50％以上にする”というようなあるべき姿が出てきます。

この業務の姿に向けて移行計画を作成していくことになります。移行計画としては、第1ステップは「業務プロセスの標準化」、第2ステップは「電子申請業務システムの導入・運用」、第3ステップで「モニタリングや業務効率化のための情報の共有・分析」の移行方針を策定しますと、この目標に沿った実施計画が組まれ、各移行フェーズのBA、DA、AA、TAの体系を作成し、最適化計画を完成させていくことになります。

　第１３６回はここで終了します。
　この回で最適化計画のステップは全てカバーしましたのでEAのテーマは終了しようと思います。
　“EAが少しは身近なものになりましたか？”

　皆様方の実務へ何らかの形で反映でき、お役に立てば幸甚の限りです。

　次回以降のテーマは、私の書いた雑誌記事「最先端の経営リスクを追う！」　（アスキービジネス）
　から、日本版SOX法として注目を集めている内部統制の中でITに焦点を当てた「IT内部統制」を取り上げようと思います。

　題材は「サーベンズ・オクスリー法（企業改革法）遵守のためのIT統制目標」（ITGavernance　Institute　2004年翻訳版）を使用します。

　今後、法制化されることもあり、IT化指導をするITコーディネータ企業にとって必須のテーマです。

Comments(0)

1３７回からはIT内部統制を取り上げます。

　日本版SOX法といわれる内部統制の外部監査実施は2008年4月から開始されました。
　日本版SOX法による内部統制の対象企業は上場企業です。しかし、今年6月の新会社法
　では資本金5億円以上又は負債200億円以上の企業が内部統制の対象となります。
　対象会社数は10万社に膨れ上がります。10万社が対象ということは顧客や取引先を
　考えると内部統制を実施している企業が必ず営業活動において存在することになり
　ます。そういった企業は自社の取引先は内部統制が出来ている会社か否かの観点で
　取引を進めることになりますから、全ての企業が関係してくることになります。
　日本版SOX法ではこの内部統制の中でIT統制がきわめて重要な役割を果たします。
　このブログでは、“IT内部統制として如何に対処すべきか”の観点で解説していきたいと思います。

　今日はIT内部統制の第１回です。

　第1回ではこのテーマのメルマガで取り上げる内容を目次としてみました。総括的に
　捉えていただければと思います。

　（１）日本版SOX法とITの位置づけ
　　内部統制出現の背景（経緯、SOX法と日本版SOX法、新会社法と日本版SOX法）
　　、内部統制の目的と構造（PCAOB、COSO、SOX法、日本版SOX法）

　（２）IT統制とは
　　IT統制の要素（経営管理と業務プロセス、財務アプリケーション、ITインフラ）、
　　IT統制の構造と統制要件（全体構成、全社レベルの統制、IT全般統制、アプリケー
　　ション統制）

　（３）IT内部統制におけるCOBITとITIL
　　COBIT（全体構造、管理プロセス、業務プロセス成熟度）、ITIL概要、COSOフレーム
　　とIT業務プロセス（キュービック構造、ITILの関係）、IT統制プロセス要件の
　　反映、IT運用プロセス要件への反映

　（４）IT内部統制導入のステップ
　　全体ステップ（業務内部統制とIT内部統制）、IT内部統制プロセス導入留意点
　　（アサーション、業務フロー分析、リスクコントロールマトリクス等）、IT内部
　　統制の文書化

　以上の項目について解説していきますが、約6割は以下の資料を参考に易しく解釈しなおしていきたいと思います。IT　Governance　Institute　の発行で金融庁の「実務指針」の基礎資料といわれています。無料でダウンロードできますので印刷されることをお勧めします。

　次回は「内部統制出現の背景」のテーマを取り上げます。

（参考資料）
　★「サーベンズ・オクスリー法（企業改革法）遵守のためのIT 統制目標」
　

Comments(0)

　内部統制は2002年７月の米国でサーベインス・オクスリー法（SOX法）の成立から始まりました。この法律の成立の由来は2001年12月に米国エンロンが約10億ドルの利益を水増しする粉飾決算で連邦政府法11条を申請。元CFOと会計監査を担当していた世界 最大の会計事務所アーサーアンダーセンも起訴されたことに始まります。（会計事務所は2002年8月に廃業に追い込まれました。）

　 続いて、米ワールドコムは2002年6月に約38億ドルの利益水増しの粉飾で同様に起訴 され、内部統制の法律成立に拍車を掛けました。

日本でも大きく2件の事件が発生しました。西武鉄道事件とカネボウ事件です。2003年10月、西部鉄道は有価証券報告書に持ち株比率の虚偽記載し、同年12月に上場廃止となりました。

カネボウは2005年4月、2004年3月期までの5年間で2000億円の売上や利益の粉飾が発覚 し、同年6月13日に上場廃止となりました。これらの事件は否応無く、日本においても会計制度の透明化やグローバルに説明できる経営状況の提示が求められることになりました。

つまり、「業務を適切に遂行し、適正な運営が誰にでも分かる仕組みづくり」が必須として求められる状況になりました。この状況を作り上げ、維持できる仕組みが出来ていることを「内部統制が出来ている」と言うわけです。

金融庁は2005年7月に米国のSOX法をもとに「財務報告に係る内部統制の評価及び監査の基準」を日本版SOX法の基準を公表し、2006年6月7日に「金融商品取引法」として成立しました。

　この内部統制の目的には「財務報告の信頼性」、すなわち財務処理が適切に処理され、報告されることにあり、その業務処理の仕組みとしてＩＴ化への対応をすることが推奨されています。

　この対応のために米国では「サーベインズ・オクスリー法（企業改革法）遵守のためのＩＴ統制目標」（ＩＴ　Ｇｏｖｅｒｎａｎｃｅ　Ｉｎｓｔｉｔｕｔｅ）として実践ガイドが発行されました。金融庁で今年秋に発表される内部統制の実務指針はこのガイドを参照して作成されると言われています。

　(注)「サーベインズ・オクスリー法（企業改革法）遵守のためのＩＴ統制目標」

　次回は「日本版SOX法の法律条項」のテーマを取り上げ、基礎となる法律を調べてみましょう。

Comments(0)

　一般に日本版SOX法という用語で一般に呼ばれていますが、このような法律名は存在しません。この用語の由来はかなり輻輳しているので整理することにしましょう。

　正確には、平成18年3月13日国会に提出し、6月7日に成立した「金融商品取引法案」を指し、今後法律化される法案です。この法案は証券取引法を中心に複数の金融関連法を統合したものです。

通称で投資サービス法案と呼ばれ、企業に対して、内部統制や四半期の開示を義務付けます。この内部統制に関して、2005年12月8日、金融庁企業会計審議会内部統制部会が「財務報告に係る内部統制の評価及び監査の基準案（以下基準案）」をまとめました。

　この基準案が「金融商品取引法案」に盛りこまれました。
日本版SOX法と呼ばれているのは、この内部統制が米SOX法の404条をもとに作成されたことによります。
404条は財務報告に係る内部統制の評価について経営者が年次報告での開示と外部の監査法人がその内容を評価して監査報告書を発行していることを義務付けています。

　金融商品取引法（日本版SOX法）では「経営者の内部統制義務付け」（第24条の4の4）と「外部の監査人が監査することを義務付け（第193条の2の第2項）が相当します。

　日本版SOX法、すなわち「金融商品取引法案」は財務諸表に焦点を当てた内部統制の仕組みを取り込むための法律となります。

　今までの会計監査との違いは財務諸表を作成するための内部統制の構築・整備を行い、報告時に内部統制の仕組みを自社内で評価することに前提があり、外部の監査法人はこの「内部統制の社内評価」を検証と報告された財務諸表の「財務諸表監査」の両面から監査することになります。

　従来の会計監査は企業の会計報告である財務諸表を外部の監査法人が企業の会計処理の仕組みと報告内容の信頼性を監査するのみでありましたが、今回の法律では企業内部で会計処理に対する内部統制を義務付け、経営者が報告書として提出する義務があります。

外部の監査人はこの報告書を正しいものとして財務諸表の監査を行うことになります。

　この内部統制に対して虚偽の報告をした場合、報告した経営者や企業は法律違反となり罰則を受けることになります。その内容は次のように規定しています。

　「重要事項に虚偽記載のある有価証券届出書等の提出が有る場合」は懲役10年以下、
　　罰金：個人1000万円以下、法人7億円以下

　「有価証券届出書等の不提出」の場合は懲役5年以下、罰金500万円以下、法人5億円
　　以下

　この制度の施行が2008年4月の会計年度から実施されたために、特に上場企業は大慌てしたのです。

この内部統制の仕組みを整備するには最低1年から1.5年は期間が必要と言われています。
　
　次回は「COSOレポート」をテーマに取り上げます。

Comments(0)

　COSOレポートと言うと、初めての方には“何か難しそう！”と思われるかもしれま
　せん。しかし、このレポートは米国SOX法、日本版SOX法の原点になるものですので、
　避けて通ることが出来ません。米国SOX法との関係から解説していきましょう。
　COSOとは、トレッドウェイ委員会組織委員会（Committee of Sponsoring 　
　Organizations of Treadway Commission）の略称です。この委員会が1992年内部統制
　のフレームワークをCOSOレポートとして公表しました。
　2002年7月に米国SOX法が成立するのですが、その法律の101条にPCAOBを設置する。
　103条にPCAOBが監査基準を公表するとあります。PCAOBとは公開会社会計監視委員会
　（Public Company Accounting Oversight Board）の略称で、会計監査人を監査する
　委員会です。この委員会がPCAOB監査基準第２号「財務諸表監査に関連して実施される
　財務報告に係る内部統制の監査」を策定し、
　その中で、
　￭経営者の評価は適切なフレームワークに基づかなければならない。
　￭COSOは適切なフレームワークの１つ。
　と推奨しました。
　このときから、COSOレポートが大きく日の目を見ることになり、事実上の世界標準と
　なりました。COSOはPCAOB監査基準第２号がいう内部統制のフレームワークを統合的に
　規定したレポートでした。
　このレポートには内部統制の3つの目的とその目的を達成するための内部統制の5つの
　基本構成要素が規定されています。
　3つの目的とは「業務の有効性及び効率性」、「財務報告の信頼性」、「業務に係る法
　令等の遵守（コンプライアンス）」であり、基本構成要素とは「統制環境」、「リス
　ク評価と対応」、「統制活動」、「情報と伝達」、「監視活動（モニタリング）」
　です。
　日本版SOX法では、この法律の基盤となる「財務報告に係る内部統制の評価及び
　監査の基準」（H17．7．13）を日本版COSOとして発表しました。内部統制の目的に
　「資産の保全」を加え、基本構成要素に「ITへの対応]を加え、内部統制の4つの
　目的、6つの基本構成要素としています。
　この事情は米国と日本の内部統制に対する考え方の違いから来ています。その内容は
　次回のメルマガにそのテーマを譲りましょう。
　次回は「内部統制の目的と基本構成要素」をテーマに取り上げます。

Comments(0)

　内部統制の定義は「内部統制の目的達成のために、業務に組み込まれ、組織内の全て
　の者によって達成されるプロセス」とある。
　この目的をここでは日本版COSOの内部統制目的と基本構成要素を中心に話を進めて
　いきます。日本版COSOの内部統制には４つの目的、基本構成要素には６つの要素が
　ありました。順番に見ていきましょう。
　内部統制の4つの目的は「業務の有効性及び効率性」、「財務報告の信頼性」、「業務
　に係る法令等の遵守（コンプライアンス）」、「資産の保全」です。「資産の保全」
　は日本版COSOでの追加項目です。
　◆「業務の有効性及び効率性」とは、業務目的達成のために、無駄なく有効かつ効率
　　的に業務を遂行することを言います。例えば、生産プロセスを効率化していく
　　「改善活動」は業務の効率性　と品質向上を目的とした内部統制になるわけです。
　◆「財務報告の信頼性」とは、財務諸表や注記等に係る経営情報の信頼性を確保する
　　ことを言います。例えば、企業はステイクホルダーに対し財務状態及び経営成績に
　　関する情報を報告、開示することは資本主義の根幹を支える活動です。
　　内部統制はこの活動を正しく行うことを意図して構築された仕組みをいうことに
　　なります。
　◆「業務に係る法令等の遵守」とは、事業諸活動において法令、規範、倫理、道徳を
　　遵守することを言います。例えば、経営者は従業員に対して「法令や規範等の社会
　　的なルールを守るように」伝えるだけでなく、教育を通じて法令遵守の実効性を
　　高める仕組みを構築する責任が出てきます。
　◆「資産の保全」とは、株主からの預かりものである資産の取得、使用、保管、処分
　　を正確かつ適切に行うことを言います。例えば、企業は生産設備などの有形固定
　　資産だけでなく、生産技術やデザインといった知的財産権も含めた資産の保全を
　　図り仕組みを作り上げる責任が出てきます。
　日本版COSOでは内部統制の目的に「資産の保全」が追加されたと述べましたが、この
　項目は「財務報告の信頼性」では必然的に出てくるテーマです。
　ただ、日本ではより強調したかったことだと思われます。
　ここでの注意点は、日本版SOX法は「財務報告の信頼性」のみを内部統制の目的として
　いることです。上場企業に義務付けられている有価証券報告書が適切に処理されて
　いることが確認され、報告書に虚偽が無いことに焦点が当っています。
　従って、有価証券報告書の中心に記載される財務諸表の各勘定科目の処理の内部統制
　に向けての改善に重点が置かれることになります。
　その処理の内部統制の要素が６つの基本構成要素になるわけです。次回のテーマと
　しましょう。
　次回は「内部統制の目的と基本構成要素―その2」をテーマに取り上げます。

Comments(0)

　前回は内部統制のCOSOのフレームワークにおける「内部統制の目的」を取り上げま
　した。今回はこの内部統制の目的に対して“何をなすべきか”を「内部統制の基本
　構成要素」として日本版COSOは６つの要素を定義していますのでその解説をしよう
　と思います。
　日本版SOX法では、内部統制の目的を“財務報告の信頼性”に置いていますので、
　この目的に対する基本構成要素を実施できれば法律に従うことになります。
　その基本構成要素とは「統制環境」、「リスク評価と対応」、「統制活動」、「情報
　と伝達」、「監視活動」、「ITへの対応」を言います。
　■「統制環境」とは、“組織の気風を決定し、組織内の全ての者の統制に対する意識
　　に影響を与えるとともに、他の基本的要素の基礎となる環境”を言います。
　　例えば、経営者やリーダーの誠実性や倫理観、経営者の内部統制に対する強い
　　姿勢、高すぎるクォータなど社員が不正へと駆り立てない経営方針、独立した監査
　　部門の設置、内部統制を実施できる組織体制、権限及び職責、内部統制を実施
　　できる従業員の育成などを指しています。
　
　■「リスク評価と対応」とは、“組織の目標達成に影響を与える全てのリスクを
　　識別、分析及び評価することによって、当該のリスクへの対応を行う一連のプロセ
　　ス”を言います。
　　例えば、リスクの認識と識別が出来、リスクの内部統制目標に対する影響を評価
　　し、そのリスクを最小化する適切な対応が出来ることです。
　
　■「統制活動」とは、“経営者との命令及び指示が適切に実行されることを確保する
　　ために定める方針、手続及び実践”を言います。例えば、販売活動、購買活動、
　　資産管理等、企業の活動に組み込まれている方針や手続を指し、職務の分掌規定、
　　記録、レビュー/監視などの活動を言います。
　■「情報と伝達」とは、“必要な情報が組織や関係者相互間に、適切に伝えられる
　　ことが確保できること”を言います。職務遂行に必要な情報の識別と社内/社外
　　との適切、適時のコミュニケーションが取れるプロセスを整備できていることを
　　表しています。
　■「監視活動」とは、“内部統制の有効性を継続的に監視及び評価するプロセス”
　　を言います。
　　つまり、日常的モニタリングや定期的に行う独立的評価、評価の適切性を確保する
　　評価プロセス、監査結果の報告体制が出来ていることです。
　■「ITへの対応」とは、“他の基本要素が有効かつ効率的に機能するために、業務に
　　組み込まれている一連のＩＴを活用すること”を言います。この要素は日本版COSO
　　で含まれました。IT化されたアプリケーションプログラムが正確に処理され記録
　　されることを確保するアプリケーション統制（又は業務処理統制という）とアプリ
　　ケーション統制が有効に機能することを保証するIT インフラ環境に対する全般統制
　　で構成されます。
　内部統制の目的と内部統制の基本構成要素について、COSO フレームを基に前回と今回
　で整理しました。　今回はここで終わります。

　次回は日本版SOX法によって監査制度が変わりましたので、「日本の新しい監査制度」
　をテーマに取り上げます。

Comments(0)

　今回の日本版SOX法で監査制度が変わり、現行の監査制度に比べて厳しくなります。

　現行の制度では企業が自社内で財務諸表を作成し、外部の監査法人が内部統制のプロセスを評価し、財務諸表の監査を実施する手順でしたので、報告の内容は監査法人任せでした。

新制度では企業が自社内で財務諸表を作成することは同じです。

　その作業に加え、内部統制のプロセスを社内評価し、それを監査法人に報告しなければいけません。
監査法人はこの内部統制の評価報告書を監査し、財務諸表の監査を行うことになります。
新制度では企業内部に監査部門を持ち、その内部統制の監査報告に対して経営者が責任を持つことが必要になりました。

　新制度の監査の特徴は以下の4点にまとめられます。

　◆「トップダウン型のリスクアプローチ」を取り入れたこと。つまり、経営者は連結ベースでの全社的な内部統制を評価する経営者による責任体制を取り入れたこと。

　◆「ダイレクト　レポーティングの不採用」したこと。直接監査法人へ報告するダイレクトれポーティングは扶養にしました。業務規定マニュアルがあり、キッチリと適用されていることを前提に社内でテストして、それが文書化され、報告されていれば良いということにしました。
つまり、監査人はその報告の実効性を検証し、その前提で財務諸表監査を行うことになります。

米国SOX法では内部統制も外部監査人が監査する必要があります。
この点は日本版の方が費用、工数ともに楽になりますが、経営者の責任は重くなります。

　◆「内部統制監査と財務諸表監査の一体化実施」を可能にしました。
内部統制監査は財務諸表監査と同一の監査人が実施して良いということは監査証拠を双方で利用することが可能になり、効果的かつ効率的な監査の実施が期待できる。

　　この基準も米国とは異なります。米国では同一会計事務所が実施するが、担当者は異なることも可能としています。この点も日本版のほうが費用、工数ともに楽になります。
ただ、米国の方が第3者牽制は厳しく働くことにはなると思われます。

　◆「監査人と監査役・内部監査人との連携」を可能にしたことがあります。
このことで、監査人は監査役などの監視部門と適切に連携し、必要に応じ内部監査人の業務での資料等を適切に利用できるようになります。

　まとめますと、経営者へ財務諸表作成とそのプロセスへの内部統制責任を持たせ、外部監査人との責任と役割を明確に分離したことに特徴があります。

　今回はここで終わります。

　次回は内部統制の目的である“財務報告の信頼性”の基準である「財務諸表アサーション」をテーマに取り上げます。

Comments(0)

　内部統制の目的である“財務報告の信頼性”確保の判断基準として、財務諸表アサー
　ションがあります。
　内部統制の６つの基本構成要素（第142回）は内部統制の目的のための実施要件でした
　が、財務諸表アサーションは内部統制目的の達成を判断する監査要点です。
　逆の見方をしますと、業務プロセスが財務諸表アサーションを遵守できるように、
　6つの基本構成要素の仕組みづくりを行えば、“財務報告の信頼性”を確保できると
　いうことです。７つのアサーション（監査要点）があります。
　◆「実在性」：資産および負債が実際に存在し、取引や会計事象が実際に発生して
　　いることを言います。具体例としてあげますと、“貸借対照表に計上されている
　　製品が販売可能の状態の実在庫として存在実在していることや売上計上が実際に
　　履行された取引であること”などはこの実在性に当ります。

　◆「網羅性」：計上すべき資産、負債、取引や会計事象を全て記録していることを
　　いいます。
　　具体的には、“全ての商品購入や販売、給与支払等、財務諸表の勘定科目の増減と
　　なる取引が漏れなく記録され財務諸表に反映されていること”に当ります。

　◆「評価の妥当性」：資産及び負債を適切な価額で計上していることです。
　　例えば、“市場性のある有価証券は時価基準による評価を行っているや在庫商品を
　　時価評価すること”などが該当します。

　◆「期間配分の適切性」：取引や会計事象を適切な金額で記録し、収益および費用を
　　適切な期間に配分していることを言います。
　　例えば、“固定資産は取得原価で記帳され、規則的に減価償却されていること”
　　などがそれに当ります。

　◆「権利と義務の帰属」：計上されている資産に対する権利および負債に関する義務
　　が企業に帰属していることをいう。
　　例えば、“リース資産として計上された金額は当該資産に対する権利の対価である
　　し、買掛金として計上された金額は債務としての義務です。そのような権利、義務
　　の帰属を明確にすること”が該当します。

　◆「表示の妥当性」：財務諸表において項目が適切に分類され、表記され、公表され
　　ていることをいう。
　　例えば、“流動負債に分類された借入金は一年以内に決済される”などは代表的な
　　例です。
　以上の財務アサーションは「独立行政法人に対する会計監査に係る報告書」
　（財政制度等審議会）の実施基準の基本原則から引用したものです。会計監査人が
　監査する上で遵守し無ければならない判断基準としての原則です。
　日本版SOX法は“財務報告の信頼性”を目的として法制化しましたので、この7つの
　財務諸表アサーションが遵守した財務諸表を作成できる内部統制プロセスの構築が
　求められると言うことです。
　今回はここで終わります。

　この内部統制プロセスはIT化されているのが通常でしょう。そこでIT統制の必要性が
　浮上しました。次回のテーマとします。
　次回は「IT統制の構造」をテーマに取り上げます。

Comments(0)