- 追加された行はこの色です。
- 削除された行はこの色です。
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-[[戻る>SC:法制度]]
*目次 [#m5891967]
#contents
*概要 [#a7cc2bac]
セキュリティに関連が深い知財に関する内部統制に関する法制度。
*内部統制と会社法 [#y2dc4064]
**内部統制 [#rb2e1037]
internal control
***概要 [#r25c457b]
-組織の業務の適正を確保するため
--その組織の内部において適用されるルールや業務プロセスを整備し運用すること、
--ないしその結果確立されたシステム(内部統制システム)
-コーポレート・ガバナンスの要とも言え、近年その構築と運用が重要視されている。
-内部監査と密接な関わりがあるので、内部監督と訳されることもある。
***COSOフレームワーク [#qc3b401f]
-アメリカのトレッドウェイ委員会支援組織委員会 (COSO)が1992年に公表した~
報告書である「内部統制の統合的枠組み」(COSO報告書)により理論化された。
-国際決済銀行内にあるバーゼル銀行監督委員会は、1998年1月19日、~
銀行におけるリスク管理水準の向上を目指した継続的な作業の一環として、~
「内部管理体制の評価のためのフレームワーク」を公表し14の原則を定めた。
-定義
--目的
---業務の有効性と効率性(Effectiveness and efficiency of operations)
---財務報告の信頼性(Reliability of financial reporting)
---関連法規の遵守(Compliance with applicable laws and regulation)
--構成要素
---統制環境(Control Environment)
---リスク評価(Risk Assessment)
---統制活動(Control Activities)
---情報と伝達(Information and Communication)
---監視活動(Monitoring)
***日本における基本的枠組み [#v44e09cd]
-日本においては大和銀行巨額損失事件を発端として
--商法特例法により委員会等設置会社に体制構築が義務付けられ、
--会社法施行に伴い広く適用されるようになった。
-これに伴い、企業会計審議会・内部統制部会が、
--「財務報告に係る内部統制の評価及び監査の基準」
--「財務報告に係る内部統制の評価及び監査に関する実施基準」
>を2005/12に設定し、日本における内部統制の実務の枠組みを定めている。
-構成~
基本的にCOSO準拠だが幾つかが追加されている。
--四つの目的
---業務の有効性及び効率性
---財務報告の信頼性
---事業活動に関わる法令等の遵守ならびに
---資産の保全(日本が独自に追加)
--六つの基本的要素
---統制環境
---リスクの評価と対応
---統制活動
---情報と伝達
---監視活動
---ITへの対応(日本が独自に追加)
**会社法 [#abbd1420]
***法の施行と内部統制の関連 [#w9fb192f]
-2006/5/1に施行
-以前は、法律が分散していた。
--商法
--有限会社法
--商法特例法~
(株式会社の監査等に関する商法の特例に関する法律)
-コレの統合と社会経済情勢の変化に対応し大幅な改正が行われた。
--株式会社と有限会社を1つの会社類型(株式会社)として統合
--新たな会社類型として、合同会社を創設。
--設立時の出資額規制の撤廃(最低資本金制度の撤廃)
--株式、新株予約権、社債制度の改善
--取締役の責任に関する規定の見直し。
--内部統制システムの構築の義務化。
-内部統制との関連
--内部統制システムの構築の義務化。
--内部統制システムの整備の基本方針を取締役会で決定することの義務化。~
(取締役の職務の施行が法令及び定款に適合することを確保するための体制)
***法改正 [#d85ce259]
2014/6成立、2015/5施行。
-社外取締役の起用を促進し、起用しない企業には理由の説明の義務付け
-重要な子会社を売るときには株主総会の特別決議(議決権の3分の2以上)が必要。
-親会社の株主が不祥事を起こした子会社の経営陣を訴えられるようにする。
*SOX法 [#a2698443]
**米SOX法 [#b227c55a]
***概要 [#sa342f36]
-2002年7月に制定
-略称~
法案を提出した
--ポール・サーベンス(Paul Sarbanes)上院議員
--マイケル・G・オクスリー(Michael G.Oxley)下院議員
>の名前をとったサーベンス・オクスリー法。
-正式名称
--上場企業会計改革および投資家保護法
--Public Company Accounting Reform and Investor Protection Act of 2002
***経緯 [#f427c6e9]
-2001年以降の企業で相次ぐ会計不祥事に向けて、-米国政府が制定
--エネルギー企業大手のエンロン
--通信企業大手のワールドコム
-企業の粉飾決算や[[不正会計>#m839e97e]]処理を防ぐため、~
内部統制を強め、管理・点検体制を整えることを義務づけた企業改革法
--該当する企業から独立した取締役で構成する監査委員会の設置を上場企業に義務づけ、
--監査法人の任命や報酬、監督に責任を負わせたほか、
--匿名の告発を処理するよう定めている。
--最高経営責任者(CEO)や最高財務責任者(CFO)は財務諸表の内容に責任をもつ。
---不適切に財務諸表を修正させた場合にはボーナスの返還
---故意の虚偽記載には最長20年の禁錮刑や500万ドル以下の罰金を科している。
**日本版SOX法 [#ze4b3d11]
***概要 [#h512672b]
-日本版SOX法(日本版企業改革法)
--金融商取引法(狭義の日本版SOX法)
--財務報告に係る内部統制の評価及び監査の基準案
--財務報告に係る内部統制の評価及び監査に関する実施基準
-2006年6月に制定、2008年4月からが適用
-同法は、
--アメリカの場合よりも限定・簡素化した内容。
---会計監査制度の充実
---内部統制を求める法規制
--社内での不正を防ぐ管理体制を強化する。
---社内に適正な会計手続きのルール(内部統制)があり、
---守られていることを経営者自らが証明し、
---監査法人の点検を受けるよう求めている。
-企業は、
--手続きの適正さを検証できるように、
--業務の流れやチェック態勢を文書にしておく必要がある。
-適用
--多くの日本企業は2007年3月期決算から。
--米国の株式市場に上場する外国企業には、~
2006年7月15日以降に終わる決算から。
***経緯 [#v76a7cf7]
-日本でも2004年(平成16)以降、
--西武鉄道の株式名義偽装
--カネボウの粉飾決算
--ライブドアの粉飾決算
>などが相次いだため、
--金融商品取引法に盛り込まれ、
--全上場企業を対象として
>適用された。
***詳細 [#i5a184af]
金融商品取引法における財務報告の信頼性確保に関する条項の概要
-管理体制を点検・評価した「内部統制報告書」を
--決算とともに公表
--有価証券報告書とともに内閣総理大臣に提出するよう定めた。
--また、公認会計士または監査法人の監査を受ける必要があり、~
この結果をまとめた「内部統制監査報告書」も決算時に公表する。
-内部統制報告書などの開示書類に虚偽記載があった場合、
--個人には懲役5年以下ないし
--500万円以下の罰金が科せられる。
*IT統制とCOBIT [#q34585f2]
**ITへの対応 [#v5418ed8]
-[[日本版SOX法>#ze4b3d11]]では内部統制の構成要素として「ITへの対応」が挙げられている。
-「ITへの対応」は、「[[IT環境への対応>#sc56f104]]」と「[[ITの利用及び統制>#abae3530]]」から成っている。
***IT環境への対応 [#sc56f104]
-組織の目標を達成するために、予め適切な方針と手続きを定め、
-それを踏まえて、組織内外のIT環境に対して適切な対応を行うこと。
***ITの利用及び統制 [#abae3530]
-内部統制の他の基本的要素の有効性を確保するために、~
ITを有効かつ効率的に利用すること。
-内部統制の他の基本的要素を機能させることにより、~
ITが有効かつ適正に利用されるよう監視・統制すること。
-以下を十分、考慮する必要がある。
--導入されているITの利便性とその脆弱性
--業務に与える影響の重要性等
**IT統制 [#l1c205c0]
[[IT事務処理統制>#r3058fc1]]と[[IT全般統制>#oc92ac6d]]から成る。
***[[IT事務処理統制>高度午前 - サービス・マネジメント - システム監査#s2cb4d77]] [#r3058fc1]
-内容については、リンク先を参照。
-[[日本版SOX法>#ze4b3d11]]中での評価~
次のような点において有効に整備及び運用されているか評価する。
--ITの開発・保守
--システムの運用・管理
--内外からのアクセス管理等のシステム安全性の確保
--外部委託に関する契約の管理
***[[IT全般統制>高度午前 - サービス・マネジメント - システム監査#n7d07b85]] [#oc92ac6d]
-内容については、リンク先を参照。
-[[日本版SOX法>#ze4b3d11]]中での評価~
次のような点において有効に整備及び運用されているか評価する。
--有力情報の完全性・正確性・正当性等が確保されているか。
--エラー・データの修正と再利用の機能が確保されているか。
--マスター・データの正確性が確保されているか。
--システム利用に関する適切なアクセス管理がなされているか。
**COBIT [#a5aaaba1]
COBIT : control objectives for information and related technology
***概要 [#p0fea8f6]
-1992年に作成を開始
--情報システムコントロール協会 (ISACA)
--ITガバナンス協会 (ITGI)が
-IT管理についてのベストプラクティス集(フレームワーク)
--以下を提供して、
---マネージャ、監査人、ITユーザーに一般に通じる尺度や判断基準
---ビジネスプロセスやベストプラクティスを
--以下を補助する。
---情報技術を利用して得られる利益を最大化するための
---企業内の適切なITガバナンスや内部統制の開発
***ドメインとプロセス [#n73441a7]
最新版のCOBITでは、ITガバナンスとITマネジメントのプロセスを
-5ドメイン
-37プロセス
として定義している。
***能力レベル [#y8e197c9]
-0:不完全なプロセス
--プロセスを実行していない、
--またはそのプロセスの目的を達成していない。
--プロセスの目的を体系的に達成しているという証拠が
---ほとんどないか、
---または全くない。
-1:実施されたプロセス~
実行したプロセスが、そのプロセスの目的を達成している。
-2:管理されたプロセス~
実施されたプロセスを、
--管理された方法(計画、モニター、調整)で実行している。
--その作業生産物も、適切に確立し・制御し・維持している。
-3:確立されたプロセス~
管理されたプロセスを、~
プロセスの成果を達成する事ができる定義されたプロセス~
を使用して実行している。
-4:予測可能なプロセス~
確立されたプロセスを、
--プロセス成果を達成するために、
--定義された範囲内で運用している。
-5:最適化しているプロセス~
予測可能なプロセスを、関連する現在の
--ビジネス達成目標
--および計画したビジネス達成目標
>を満たすように絶えず改善している。
*不正会計 [#m839e97e]
-データサイエンスの項で説明されていたので、ココにメモ。
-不正会計とは、GAAPに反する手続きにより利益を計上する会計行為
-近年、増加、多様化 複雑化の傾向にある。
**用語 [#gd9c839e]
***GAAP [#z8ab617e]
-一般に公正妥当と認められた会計基準
-GAAPの範囲内で行われる会計処理は利益調整
--攻撃的利益調整:利益増加型または純資産増加型
--守備的利益調整:利益減少型または純資産減少型
***粉飾決算 [#d4bc7dda]
不正会計が違法行為と判断されたときの呼称
-利益増加型または純資産増加型の不正会計を粉飾
-利益減少型または純資産減少型の不正会計を逆粉飾
***監査 [#lec1c561]
不正会計を見つける。~
三様監査、四様監査
-監査役~
会社法により定められた監査役が行う
-内部監査~
経営者の指揮下に内部統制を監査する内部監査人が行う
-外部監査~
公認会計士が所属する監査法人などが行う
-その他~
金融庁なり税務署が行う
**動機・手段 [#ofd292e7]
***動機 [#i6902183]
-利益・収益ベンチマークの達成~
アナリストの利益予想や会社の利益予想の達成
-経営状態悪化の表面化回避
--倒産の回避
--上場基準を満たすため
--追加的な資金を調達するため
--入札で使用される経営事項審査のため
--経営者が自分の報酬を増やすため~
例えば利益連動型の報酬制度を設けている場合
***手段 [#f71bc15a]
-利益をよく見せたいので、以下がよく行われる。
--過大計上操作(収益の操作
--売上原価操作(費用の操作
-手口
--期ずれ計上(による売上前倒し
--証憑捏造による架空売上
--コスト付替による不採算案件隠し
--無理完による予算消化
--不適切な見積原価
--, etc.
-事例
--東芝事件の手口
---工事進行基準を遵守せず、~
・工事損失引当金の計上を先送り~
・少なく見積る事で、進捗度を上げられる。
---引当金や経費、仕入れのキャリーオーバー
---バイセル取引の悪用(在庫の利益は消す必要がある
---期末の在庫過大評価で原価が減る(ので利益が増える
原価=期首在庫+仕入れ-期末在庫
--オリンパス事件の手口~
金融商品会計基準(1999)がトリガ。
---連結対象外となる受け皿ファンドを組成&~
金融資産を簿価で買い取らせ、含み損を連結財務諸表から切離した。
---受け皿ファンドが国内3社の株式を安値で取得。
---事業投資ファンドが株式を"高値で"購入(受け皿ファンドは損失を精算)。
---事業投資ファンドを解約し株式を資産計上(事業投資ファンドは損失を精算)。
---国内3社をM&A後、のれんを資産計上し、~
その後、有価証券の含み損をのれんの損失につけかえた。
**不正の防止 [#k656acd7]
***内部統制制度を拡充させる [#b020a112]
***内部通報制度の有効性を高める [#of8c11ea]
***財務会計リテラシーを習得 [#ufa8bf9b]
***不正会計の検知方法 [#e83fd163]
-Beneish、Dechow et al、Song et al~
「1,0」の2値変数とした[[ロジスティック回帰分析>データ解析#f8862775]]で~
不正予測スコアを求めそのスコアに基づいて不正会計の検知を行う
--Beneish
---1999、M-Score
---8つの財務指標を説明変数として利用し~
ロジスティック回帰モデルで予測モデルを構築
--Dechow et al
---2011、F-Score
---28個の財務諸表を説明変数として利用し~
ロジスティック回帰モデルで予測モデルを構築
--Song et al
---2016、日本版 F-Score
---Dechow et alと日本企業の特徴を表す一般事業法人持株比率を~
説明変数として利用しロジスティック回帰モデルで予測モデルを構築
-[[Li et al>機械学習(machine learning)#o74a1833]]