「内部統制」の整備・強化のご提案全社的な 内部統制 it全般統制 *1...
TRANSCRIPT
「内部統制」の整備・強化のご提案
NPO東京ITコーディネータ
□見積の要件 お客様の内部統制関連の現状把握
□「内部統制」整備プロジェクトの目標設定
□「内部統制」の実現イメージ
□整備すべき「内部統制」の仕組みの概要
□ 「内部統制」整備プロジェクトの成果物
□全体スケジュール
□プロジェクトの活動概要
□ 「内部統制」整備プロジェクト体制例
□弊NPOの支援方法について
株式会社〇〇 御中
©NPO東京ITC2014
【お客様の概要】1. □業種、上場区分、資本金、従業員数、売上高2. □拠点配置、子会社の数(連結財務諸表への影響度)
3. □主要事業構成と主要業務プロセス4. □ISO取得( )、□Pマーク取得、□ISMS取得
【IT活用状況】1. □ITの活用状況の把握
IT活用戦略・方針・計画、各種規程の有無IT基盤の導入状況の現状、アウトソーシング状況業務処理システムの導入状況、パッケージ利用状況
2. □情報セキュリティ管理体制の現状
【内部統制への取り組み状況】1. □内部統制の整備・強化の方針・目標の明確化(経営トップ)2. □内部統制プロジェクトの目標設定
適用範囲、スケジュール、運営方針、責任・権限、成果目標3. □内部統制プロジェクトの組織・事務局体制と運営方法のイメージ4. □支援希望フェーズ、支援方法
見積の要件 お客様の「内部統制」関連の現状把握
©NPO東京ITC2014
内部統制の基本的要素 整備目標 整備ポイント
Ⅰ.適正な財務報告を確保
するための全社的な方針や手続が示され、適切に整備・運用されていること【統制環境】
①適正な財務報告の意向等の表明、これを実現していくための方針・原則等の設定
②取締役会及び監査役又は監査委員会の機能発揮③適切な組織構造の構築
□内部統制方針
□取締役会・監査役等の規程等□意思決定組織□内部統制組織
Ⅱ.財務報告の重要事項に虚偽記載が発生するリスクへの適切な評価・対応がなされること【リスクの評価と対応】
④重要な虚偽記載が発生する可能性のあるリスクの識別・分析
⑤リスクを低減する全社的な内部統制及び業務プロセスに係る内部統制の設定
□リスクの識別□リスクの評価
□リスク対応コントロール設計
Ⅲ.財務報告の重要事項に虚偽記載が発生するリスクを低減するための体制が適切に整備・運用されていること【統制活動】
⑥権限・職責の分担、職務分掌の明確化
⑦全社的な職務規程、個々の業務手順等の整備
⑧統制活動の実行状況を踏まえた、統制活動に係る必要な改善
下記の明文化□職務権限□業務ルール□職務分離□統制評価・改善
「内部統制」整備プロジェクトの目標設定(1)
©NPO東京ITC2014
内部統制の基本的な要素 整備内容 整備ポイント
Ⅳ.真実かつ公正な情報が識別・把握・処理され、適切な者に適時に伝達される仕組みが整備・運用されていること【情報と伝達】
⑨明確な意向、適切な指示の伝達を可能とする体制の整備⑩内部統制に関する重要な情報が適時・適切に伝達される仕組みの整備⑪組織の外部から内部統制に関する重要情報を入手するための仕組みの整備
□指示命令伝達体制
□統制情報伝達体制
□内外情報通報体制
Ⅴ.財務報告に関するモニタリングの体制が整備・運用されていること【モニタリング】
⑫財務報告に係る内部統制の有効性を定時・随時に評価する体制の整備⑬内部・外部の通報に適切に対応するための体制の整備⑭モニタリングで把握された内部統制上の問題(不備)が、適時・適切に報告されるための体制の整備
□有効性評価体制
□通報対応体制
□統制不備情報の報告体制
Ⅵ.財務報告に係る内部統制に関するITに対し、適切な対応がなされること【 ITへの対応】
⑮IT環境の適切な理解と、ITの有効かつ効率的な利用⑯ITに係る全般統制、業務処理統制の整備
□IT環境統制□IT全般統制□IT業務処理統制
内部統制整備プロジェクトの目標設定(2)
©NPO東京ITC2014
IT業務担当
業務担当
企画 開発 保守
承認記録ワークフロー管理
アプリケーションERP等
電子文書管理
IT全般統制
経営者
★IT方針・規程
IT業務処理統制
テスト文書
伺・承認記録
★業務規程、マニュアル、業務記述書、業務フロー、リスクコントロールマトリックス
セキュリティ管理
「内部統制」の実現イメージ
★意思決定過程文書化伺・承認規定
内部統制計画
内部統制整備
内部統制監査
内部統制改善
全社的な内部統制
文書真正性、文書版管理、証跡管理
アクセス管理ログ管理
運用
インプット
処理
アウトプット
★システム運用規程・システム文書・インフラ標準
業務処理に係る内部統制
方針 体制教
育リス
ク評価
指示 報告モニ
タリング
管理者
★意思決定ルール、組織規程、権限規程
担当者
手続 承認
牽制
開発・保
守・運用管理
IT統
制環境
モニタリング
IT基盤
取締役会・監査役等
の活動
内
部監査
購買 生産 販売 会計
5年間保存
業
務委託
テストデータ
認証マ
スター
©NPO東京ITC2014
整備すべき「内部統制」の仕組みの概要
IT基盤
全社的な内部統制
IT全般統制*1
業務プロセスに係る内部統制
IT業務処理統制 *2
ITの開発、保守
(組み込まれ、運用されている統制)
EUC統制
ITの統制
・ITに関与する組織の構成・ITに関する規程、手順書・ハードウェア構成・基本ソフトウェア構成・ネットワーク構成・外部委託の状況
・入力情報の完全性、正確性、正当性
・エラーデータの修正・再処理
・マスタデータの正確性が確保
・認証・操作範囲限定な等のアクセス管理
■全社的な内部統制
・全社的な「会計方針及び財務方針」・「組織の構築及び運用」等に関する経営判断・経営レベルにおける「意思決定のプロセス」・業務プロセスに係る内部統制への影響を評価
■業務プロセスに係る内部統制・評価対象範囲内の業務プロセスを分析・財務報告の信頼性に重要な影響を及ぼす「統制上の要点」を選定・当該「統制上の要点」について内部統制の基本的要素が機能しているかを評価
システムの運用・管理
アクセス管理等の安全性の確保
外部委託契約管理
IT基盤単位把握
*1:「ITに係る全般統制」の略称*2:「ITに係る業務処理統制」の略称
有効性・効率性
準拠性
信頼性
可用性
機密性
維持継続性
正当性
完全性・網羅性
正確性
©NPO東京ITC2014
「内部統制」整備プロジェクトの成果物例(1)
内部統制に係る記録の範囲、形式及び方法は一律に規定できないが、例えば、以下の
イ.~ヘ.ような事項を記録し保存する(実施基準案ベース)。
イ.財務報告に係る内部統制の整備・運用の方針及び手続 取締役会・監査役等規程
取締役会議事録
監査役会等議事録
内部統制方針(書)
内部統制手続
内部統制対象範囲
ロ.全社的な内部統制の評価にあたって、経営者が採用する評価項目ごとの整備・運用の状況
内部統制状況報告
基準案参考1の明細
ハ.重要な勘定科目や開示項目に関連する業務プロセス
の概要(各業務プロセスにおけるシステムに関する流れ、
ITに関する業務処理統制の概要、使用されているシステ
ムの一覧などを含む。)
業務プロセス概要
業務流れ図
業務定義書
情報システム体系図
©NPO東京ITC2014
ニ.各業務プロセスにおいて重要な虚偽表示が発生する
リスクとそれを低減する内部統制の内容(実在性、網
羅性、権利と義務の帰属、評価の妥当性、期間配分の
適切性、表示の妥当性との関係を含む。また、ITを利
用した内部統制の内容を含む。)
リスク評価・分析手順書
リスクコントロールマトリックス
ホ.上記二.に係る内部統制の整備及び運用の状況 内部統制実施記録
内部統制自己点検結果
ヘ.財務報告に係る内部統制の有効性の評価手続及びその評価結果並びに発見した不備及びその是正措置
▪ 評価計画に関する記録
▪ 評価範囲の決定に関する記録(評価範囲に関する決定方法及び根拠等を含む)。
▪ 実施した内部統制の評価の手順及び評価結果、是正措置等に係る記録
内部統制評価計画
内部監査計画
内部統制評価範囲検討書
内部統制評価手順書
内部統制評価結果報告書
内部監査報告書
是正措置報告書
「内部統制」整備プロジェクトの成果物例(2)
©NPO東京ITC2014
全体スケジュール(1)
1)プロジェクト立上□経営トップの取組方針明確化□推進体制確立2)現状診断□成熟度診断□内部統制強化ポイント明確化3)内部統制基本方針・目標設定□対象範囲検討□勘定科目・業務プロセス・部門の選定
4)設計と文書化・パイロット部門・パイロット業務選定
□内部統制の設計・業務プロセス・リスク・コントロール□文書化・業務説明・業務フロー・ RCM作成(リスクコントロールマトリックス)
□文書作成ガイドライン作成
5)設計ベースの評価・改善□ウォークスルー□評価・職務分離・承認プロセス・モニタリング・リスク回避□改善検討・改善案策定プロセス見直しコントロール〃システム変更・改善実施
6) 運用と評価・改善□テスティング□運用セルフチェック□問題点改善
7)モニタリング□日常的モニタリング□独立的評価
8)パイロットの全社展開
9)全社展開(4~7を実施)□進捗管理□成果物レビュー
10)内部監査・内部監査・不備の改善
対監査法人対象範囲確認 文書化方式確認 文書化確認 運用方法確認
監査ポイント確認
PJ準備全社展開準備
全社展開文書化・運用評価・改善
パイロット部門/パイロット業務 内部統制
設計評価・改善
設計・文書化運用
評価・改善 内部監査
全社/グループ 内部統制
IT部門/IT業務 内部統制
IT系システム改善
プロジェクト内教育
©NPO東京ITC2014
全体スケジュール(2)
継続的評価 継続的改善 毎期末実施 毎期末実施 毎期監査 毎期報告
日常業務における統制活動とその監視
□日常的なモニタリング・業務への組込み・自己点検、自己評価
□独立的評価・経営者による・取締役会による・監査役等による・内部監査による□内部通報制度
有効性評価と改善
□リスク分析評価・職務分離・承認プロセス・モニタリング・リスク回避
□不備の改善・改善案策定プロセス見直しコントロール〃システム変更・改善実施
11)有効性評価
(評価と改善)□評価対応確認・職務分離・承認プロセス・モニタリング・リスク回避
□不備の改善結果の確認プロセス見直しコントロール〃システム変更
・改善実施)
12)内部統制報告書作成
□要約版□詳細報告
□整備状況の評価□運用状況の評価
13)監査法人監査 内部統制報告書要約版の開示
内部統制資料確認報告書案確認 監査法人監査 監査法人署名捺印
統制活動モニタリング
有効性評価確認
内部統制報告 監査法人
監査
統制活動評価・改善 内部統制
報告書開示
©NPO東京ITC2014
プロジェクト活動概要(1)
実施内容
① ② ③ ④ ⑤ ⑥ ⑦
成果物 PJ計画書現状診断内部統制方針書評価範囲検討書
業務システム体系図
業務フロー業務記述書RCM
テスト計画書テスト報告書改善計画書改善報告書自己点検チェックリスト
テスト報告書監査チェックリスト監査報告書改善計画書改善報告書
全社展開計画書
②~④の文書監査報告書
各部の役割
代表メンバー PJ参加
代表メンバー PJ参加と教育
代表メンバーPJ参加と教育
代表メンバーPJ参加と教育
各部作業 各部作業 各部監査対象
事務局の役割←コンサル
◎初期教育◎全体計画作成
◎方法確立 ◎方法確立 ◎方法確立○改善支援
○横展開支援 ○横展開支援○レビュー
○改善支援
内部監査担当の役割
代表メンバーPJ参加
代表メンバーPJ参加
代表メンバーPJ参加
○内部監査方式確立
○内部監査
監査法人との連携対象範囲確認 文書化方法
確認文書化品質確認
運用方法確認
内部監査ポイント確認
PJ準備
全社展開準備
全社展開文書化・運用評価・改善
パイロット部門/パイロット業務 内部統制
設計評価・改善
設計・文書化運用
評価・改善 内部監査
全社/グループ 内部統制
IT部門/IT業務 内部統制
IT系システム改善
プロジェクト内教育
©NPO東京ITC2014
プロジェクト活動概要(2)
実施内容継続的実施 継続的実施
毎期末実施 毎期末実施毎期監査 毎期報告
成果物 実施記録自己点検チェックリスト
監査報告書監査チェックリスト
有効性評価報告 内部統制報告書内部統制概要
監査法人監査報告書
内部統制報告書(要約版)
各部の役割
遂行 協力
事務局の役割
○レビュー ○改善支援 ○有効性評価 ○報告書作成
内部監査担当の役割
モニタリング ○有効性評価支援
○有効性評価支援
○報告書作成支援
監査法人との連携
内部統制資料内部統制報告書の内容構成確認
監査法人監査 監査法人署名捺印
統制活動モニタリング
有効性評価 内部統制報告 監査法人
監査
統制活動評価・改善 内部統制
報告書開示
©NPO東京ITC2014
代表者
内部統制責任者
(内部監査担当役員)コンサル
内部監査室営業部門情報システム部 購買部門
プロジェクト事務局(内部監査室等)
経理部
内部統制見直し・整備プロジェクト
①代表者による責任者の任命
②内部統制責任者がPJを立上げ
③各部門の代表者をメンバーに任命
④実務に詳しいキーマンを事務局として任命。整備と運用を主導。人数は企業規模による。
内部統制責任者、PJ事務局を支援する
「内部統制」整備プロジェクトの体制例
監査法人
内部統制整備の進め方について協議
または経営企画室
©NPO東京ITC2014
弊NPOの支援方法について
□前提
・お客様に、トップダウン体制で事務局体制を整えて頂く。
・NPOは、内部統制を積極的に活用する考え方で、将来を見据えて、「現在やるべきことを早く・安く・効率的に実施する」ことに向けて支援する。
□支援方法 「コンサル・プロジェクト管理型」が基本型
・プロジェクト立上と初期教育、パイロット部門は集中支援(例 1回/週)
・全社展開以降は必要時のレビュー支援が中心 (例 1回/週)
・1回 3時間程度
□テンプレート
・チェックリストや基本様式・規程等はコンサル・プロジェクト管理型支援では提供
・その他の様式、規程等は別途ご相談
□実務工数の支援
・オプションとなる教育、調査、作業に係わる支援
・発生工数精算方式(テンプレート提供は別途)
©NPO東京ITC2014
内部統制整備支援作業項目例 内部統制知識
業務知識事業知識
財務会計知識
監査業務知識
I情シス実務知識
情報セキュリティ知識
プロジェクト管理
1 全体プロジェクト管理 ◎ ◎
2 内部統制現状診断 ◎ ○ ○
3 内部統制対象範囲設定 ◎ ○ ○
4 業務プロセス抽出 ○ ◎ ○
5 業務フロー図・記述書作成 ◎ ○ ○
6 リスク分析とコントロール設定 ○ ○ ◎ ◎ ○
7 設計のウォークスルー評価 ○ ○ ◎ ○ ○
8 運用テスト設計 ○ ◎ ○ ○ ○ ○ ○
9 改善策策定、規程マニュアル作成 ○ ◎ ○ ○ ○
10 モニタリング・監査方法設計 ○ ○ ◎ ○ ○
11 IT全般統制診断 ○ ◎ ○
12 IT全般統制の設計 ◎ ○
13 IT業務処理統制診断 ○ ○ ◎ ○
14 IT業務処理統制の設計 ○ ◎ ○
15 有効性評価 ◎ ○ ○
16 内部統制報告書等の作成 ◎ ○
17 監査人との協議 ◎ ○ ◎ ○
関連資格(実施基準案理解)
(アプリ開発経験者)
日商簿記 システム監査技術者
特種情報処理技術者
ISMS (ISO導入)
「内部統制」整備プロジェクト要員と必要スキル