内部統制のための指針「ソフトウェア資産管理基準Ver.2.0」公表

ITベンダーや監査法人など16の企業・団体で構成するソフトウェア資産管理コンソーシアム(SAMCon)は、11月27日、2002年にVer.1.0を発表して以来、5年ぶりの改訂となるソフトウェア資産を管理するための実務的な基準「ソフトウェア資産管理基準Ver.2.0」を公表。

今回の改訂では、国際標準規格であるISO/IEC 19770-1に準拠した形で、管理基準に2つの新しい枠組みを設け、内部統制のための管理・運用の指針を大幅に刷新している。

ソフトウェア資産管理基準は、「ソフトウェア資産管理体制の整備」「所有ライセンスの把握」「セキュリティ上の配慮」など、13の枠組みに分類されており、それぞれの枠組みに(1)管理目標、(2)管理要件、(3)管理項目、が設けられている。管理要件は管理目標を達成するために必要な事項を示し、管理項目は管理要件を満たすための具体的管理内容を表している。管理項目の内容を実践することで、ベストプラクティスを実施できるとしている。

「ソフトウェア資産管理基準Ver.2.0」は、ソフトウェア資産管理コンソーシアムのWebサイトでダウンロードできる。

⇒ http://www.samconsortium.org/

内部統制ソリューション「GRANDIT内部統制コンテンツ for Ci-Tower BPM」提供開始

日商エレクトロニクス、インフォベック、ケイ・ジー・ティーの3社は業務提携し、内部統制ソリューション「GRANDIT内部統制コンテンツ for Ci-Tower BPM」の提供を開始した。

この内部統制ソリューションは、インフォベックの内部統制文書化テンプレート集「GRANDIT内部統制コンテンツ」とケイ・ジー・ティーの内部統制文書化／評価支援ツール「Ci-Tower BPM」を連携することで短期間で内部統制整備を実現できるソリューションで、内部統制文書化から運用段階の運用や評価、次年度以降の継続運用まで一貫した支援が可能となる。

「GRANDIT内部統制コンテンツ」は、WebベースのERPパッケージ「GRANDIT」の標準業務プロセスに、会計監査視点から評価したリスクポイントと代表される統制項目を網羅した、内部統制文書化テンプレート集。

「Ci-Tower BPM」は、米国SOX法対応の実績をベースに日本版SOX法対応向けに開発された内部統制支援ソリューションで、業務フローチャートにVisio、RCMにExcelと使い慣れたアプリケーションをインターフェースとして利用できる。

大和総研が内部統制対応の退職給付債務計算サービス提供

大和総研は、金融商品取引法が退職給付会計業務に求める内部統制への対応をサポートする新たな退職給付債務（PBO）計算サービスを2007年10月より開始。

この退職給付債務計算サービスは、PBOの変動額をその要因別に分析し、年度ごとに積み上げた結果から制度特有の債務構造を浮き彫りにし、今後のPBOの変動幅を経営者が効率的に把握・管理することをサポートするものだという。

また、現在、監査基準委員会報告書第18号に定める「内部統制の整備及び運用状況報告書」（日本版SAS70）の取得を目指して監査法人と調整を行っており、同報告書の定める「内部統制の整備及び運用状況報告書」を提出することで、金融商品取引法により企業に求められる、外部委託業務の内部統制にも対応予定だという。

ミロク情報サービス・内部統制対応版ERP発売

財務・会計システム及び経営情報サービスを開発・販売する株式会社ミロク情報サービスは、内部統制対応版ERP『Galileopt（ガリレオプト）財務大将シリーズ』を11月20日より発売を開始した。

既に2005年10月より発売されている初期バージョン『Galileopt（ガリレオプト）』を大幅に機能強化し、また平成21年3月期事業年度から始まる内部統制の、IT業務処理統制で求められる機能を標準搭載。

特にワークフロー機能の中でも、“業務プロセスワークフロー”においては、複数の業務処理間に承認機能を設定し、各業務処理を統制することにより、IT業務処理統制を実現し、かつ業務処理の正確性を飛躍的に向上。

主な内部統制機能は以下の通り。

IT業務処理統制に必要なコントロール機能の搭載により、業務効率化・信頼性強化・ガバナンス強化・資産保全を実現し、企業競争力を強化。（アイデンティティ＆アクセス管理、リアルタイムモニタリング機能、入力ミス防止機能、リポジトリ管理、プロセス間制御機能等）

電子文書統合管理ASPサービス「BIGLOBEドキュメントコントロールサービス」

アドビシステムズ(Adobe)とNECビッグローブは、10月24日、電子文書統合管理ASPサービス「BIGLOBEドキュメントコントロールサービス」の提供を開始すると発表し、企業内、企業間における文書流通の一元管理を実現するサービスで、内部統制強化や情報漏洩対策のソリューションとして普及を目指す。

このサービスは、PDFのアクセス権限を統合管理するサーバ製品「Adobe LiveCycle Rights Management ES」技術をベースにしたPDF文書管理ソリューション。PDFに対して閲覧期限の設定や印刷・コピーの禁止などのポリシーを付与し、その後のドキュメントの利用状況を監視できるようにする。同サービスを利用してPDF文書を発行する際は、管理者が事前にユーザーとポリシー(各種アクセス制限)を設定しておき、文書発行者は閲覧者とポリシーを指定してから専用サーバ経由でポリシー付きPDFを作成、これを電子メールなどで配布する。

日本IBMなどＳＯＡを活用したシステム構築事業

日本ＩＢＭやＮＥＣなど情報各社は中堅企業向けのシステム構築事業を強化し、2008年度から全上場企業が金融商品取引法に基づく内部統制強化を求められることもあり、中堅企業向けの需要開拓を急ぐ。

ＩＢＭは2008年2月から欧米で広がっている「ＳＯＡ（サービス指向アーキテクチャー）」と呼ばれる先進的手法で、「出荷」「在庫管理」など業務単位のソフト部品を自由に組み合わせて顧客にシステムとして提供する。

ＳＯＡ（Service-Oriented Architecture）とは、大規模なコンピュータ・システムを構築する際の概念あるいは手法の一つで、業務上の一処理に相当するソフトウェアの機能をサービスと見立て、そのサービスをネットワーク上で連携させてシステムの全体を構築していくことを指す言葉である。

内部統制における職務分掌

内部統制において「職務分掌」は重要なコンセプトである。基本的な職務分掌として、(1)取引記録、(2)取引承認、(3)現物管理、を一部門あるいは一個人が取り扱ってはいけないということである。

実際の業務プロセスでは、多くの業務に分かれているので、その業務を分割して行うことが望ましい。

例えば、販売に関わる業務プロセスを理想的な職務分掌にした場合、次のように挙げられる。

1.受注入力
2.受注承認
3.受注した商品の出荷
4.棚卸資産の記録
5.棚卸資産の保管
6.得意先への請求
7.債権の記録
8.債権の承認
9.入金処理
10.残高確認
11.得意先マスタの変更
12.得意先マスタの承認

...など、実に多くの業務プロセスが存在します。

これらを全て分掌しなければならないということではないが、職務分掌を構築していく過程では、「問題ない組み合わせ」「問題ある組み合わせ」があるので、一度、業務を細分化・文書化した上で職務分掌を行うといいだろう。

内部統制の整備状況とは

内部統制の整備状況とは、『会社の管理がどのような仕組みやルールになっているか』である。例えば、「課長が伝票の内容を確認し、ハンコを押す（＝承認）」というのがルール、すなわち、内部統制のデザインとなる。

しかし、これだけで適切な仕組みとなっているか分かりません。例えば、課長不在時に代行者が決まっておらず、とりあえず在席している人がハンコを押すといったルールになっているとしたら、整備上（運用上）の問題点といえる。

[参考]

■実施基準における内部統制上の不備の定義とは■

内部統制の不備は、内部統制が存在しない、または規定されている内部統制では内部統制の目的を十分に果たすことができない等の整備上の不備と、整備段階で意図したように内部統制が運用されていない、または内部統制を実施する者が内部統制の実施に必要な権限、能力を有していない等の運用の不備からなる。

予防的統制と発見的統制

（事例）
営業係長「あれぇ、今日、佐藤課長（営業課長）いないの？」
営業主任「はい」
営業係長「んじゃ、佐藤課長のハンコ押して、経理部に回しておいてくれる？」
営業主任「いいですよ」
　 ・
　 ・＜数日後＞
　 ・
経理部長「佐藤君！この伝票はあなたが承認したのか？（怒）」
佐藤課長「えっ！？・・・あっ！すみません（そんな伝票にハンコ押したっけかな？）」

本来、営業係長⇒営業課長⇒経理担当⇒経理部長というように、承認・決裁・照査・確認等の手続きが原則で決まっていたため、佐藤課長の承認がなければ、後の処理がなされないはずです（予防的統制）。

これに対し、後日、経理部長が、その伝票が不適合だと発見しました（発見的統制）。経理部長は、たまたま見つけたかもしれませんが、ここでは、毎月毎月伝票をチェックしていると仮定しています。

野村総合研究所(NRI)18号に基づいた監査報告書を作成

野村総合研究所(NRI)は、11月1日「『監査基準委員会報告書第18号（監査基準18号）』に基づいた監査報告書を作成する体制を整えた」と発表。

監査基準18号は、外部委託業務の内部統制の運用状況を監査するための基準で、日本版SOX法（J-SOX）対応において、NRIに開発・運用を委託する企業は、内部統制の評価・監査の負担を下げることが可能になる。

NRIが監査基準18号に基づいた監査の対象にしているのは、開発、運用・保守の2業務で、同社の開発、運用・保守のマニュアルに、日本版SOX法対応に必要な統制を織り込んだという。

日本版SOX法では、開発や運用・保守を外部に委託している場合、委託先の内部統制の状況を評価する必要があり、自らが評価するためには、自社の内部監査人を派遣するほか、外部監査を実施する監査法人の監査人も委託先に出向かなければならないため負担が大きい。この点について日本版SOX法の監査基準を定めた文書では、「（委託元の企業が自社で確認しない場合）外部委託先の内部統制の状況を評価するためには、監査基準18号に基づいた報告書の入手が必要」といった趣旨が書かれている。

つまり、委託先から監査基準18号に基づいた報告書を受け取った場合、委託元の企業は外部委託先に出向かなくても、報告書を基に評価・監査が実施でき、委託先にとっても、個々の顧客企業からの評価・監査を受けなくて済むというメリットがある。

ちなみに、米国では、同様な監査基準に基づいた報告書「SAS70(Statment on Auditing Standard No.70)」がある。

ITに関する内部統制

ITに関する内部統制は2つある。
「IT全般統制」と「IT業務処理統制」である。

IT全般統制とは、ITシステムを構築したり運用・変更するときのルールを定めること、データ（特に財務報告に関する会計データ）のバックアップを取ること、アクセス管理をきちんとすることなど、ITシステムの基盤に関して破綻が生じないようにすることである。IT全般統制は、法律でいうと憲法のようなものである。

企業会計審議会が2007年2月に発表した内部統制の「実施基準」では、IT業務処理統制として次の4項目を挙げている。

(1)入力情報の完全性、正確性、正当性等を確保する統制
(2)例外処理（エラー）の修正と再処理
(3)マスタデータの維持管理
(4)システムの利用に関する認証、操作範囲の限定などアクセスの管理

続きを読む

フローチャートを作成する

内部統制システムを構築するにあたり、まず現状を把握しなければ、リスク要因や改善項目が見えてきません。現状のフローチャートを調査し明らかにすることで、どの工程時に、ミスや不正等のリスク要因があるかを検討していく必要があります。

現状の把握には、実際に現場に足を運び「見る」「聞く」などにより、これらの結果を何らかの形で記録する必要があります。この場合、文章よりも図表で作成する方が、他の利用者の理解度や多目的への利用度（マニュアル・問題点の洗出し）でも有効なので、図表（フローチャート）での記録が一般的である。

■現状調査でのポイント■

1.工程は、なるべく詳細に書き込む
2.例外処理がある場合は、その処理方法・発生率・原因も記載する
3.ヒアリングの際は、現場担当者から日頃の問題点等も聞く
4.使用されている全帳票を集める
5.ヒアリングの結果はすみやかに清書する

内部統制システム構築において、重要なフローチャートとしては、「販売管理」「生産管理」「購買管理」「在庫管理」「資産管理」「人事管理」などがあげられる。

[内部統制]計画を立てる

内部統制システムの構築は、目的や目標を明確にし、計画を立てなければならない。

「とりあえず、フローチャートでも作ってみる」とか「とりあえず業務を文書化してみる」で始めても、途中で頓挫してしまったり、たとえ出来上がっても、必要な水準(J-SOX法の基準など）を満たしていないなど中途半端なものとなりがちである。

内部統制システムの構築には、

a.対象となる業務の範囲
b.達成すべきレベル
c.必要人員数(プロジェクトテームの人選等)
d.完了期限(進捗によって要調整)
e.進捗管理

など、具体的(可能な限り数値化したほうがいい)に決める必要がある。

内部統制には、100％の答えがあるわけではなく、企業が考え決めて行かなければならない。見直し対象となる業務内容は、その業務の担当者が熟知しており、改善点も承知しているはずで、経営層(あるいは上層部)からの一方的な押し付けではなく、現場の声や協力は必要不可欠である。全従業員が、共通の目的意識を持った上で取り組む必要がある。

弥生、最新版「弥生08シリーズ」発売

弥生株式会社は、業務ソフト「弥生シリーズ」の新版「弥生08シリーズ」を12月7日に一斉発売すると発表。

弥生08シリーズでは内部統制対応を全製品共通の強化点としており、内部統制に有効な機能として弥生08シリーズでは、伝票・仕訳承認機能を強化。財務諸表が正確に、漏れなく記載される仕組みとして、弥生会計の対象期間中の仕訳すべてが承認された後でなければ、決算書の作成が行えないようにした。ただし、業務で利用する日計表、試算表などの集計表については、業務に支障をきたさないよう、未承認のものも含め作成することが可能となっている。

弥生販売08のデータを弥生会計08に転送する場合、伝票締め切りを行い、弥生会計に仕訳データ転送後に、伝票の修正や赤伝を発行することが起こる。その場合、漏れや重複を防ぐために、締め切り後の修正データを自動的に該当月の仕訳に自動的に転送する機能を設け、伝票の漏れや重複を防ぎ、内部統制に欠かせない、「正確なデータの実現」と、業務の利便性向上を実現している。

弥生販売08の主な機能強化ポイント

(1)伝票承認機能(ネットワーク版のみ)
(2)アクセスログ機能(ネットワーク版のみ)
(3)伝票番号の重複警告機能
(4)伝票の「入力者」「更新日」の表示
(5)仕訳転送後の伝票一括締切
(6)受注からの発注一括作成
(7)発注伝票の「発送先指定」
(8)出荷予定一覧表
(9)倉庫別在庫集計の強化

価格は、「弥生販売08プロフェッショナル 5ユーザー」が26万2500円、「同プロフェッショナル 2ユーザー」が12万6000円、「弥生販売08 プロフェッショナル」が8万4000円、「同スタンダード」が4万2000円。