「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>SC:法制度]] *目次 [#m5891967] #contents *概要 [#a7cc2bac] *内部統制と会社法 [#y2dc4064] **内部統制 [#rb2e1037] internal control ***概要 [#r25c457b] -組織の業務の適正を確保するため --その組織の内部において適用されるルールや業務プロセスを整備し運用すること、 --ないしその結果確立されたシステム(内部統制システム) -コーポレート・ガバナンスの要とも言え、近年その構築と運用が重要視されている。 -内部監査と密接な関わりがあるので、内部監督と訳されることもある。 ***COSOフレームワーク [#qc3b401f] -アメリカのトレッドウェイ委員会支援組織委員会 (COSO)が1992年に公表した~ 報告書である「内部統制の統合的枠組み」(COSO報告書)により理論化された。 -国際決済銀行内にあるバーゼル銀行監督委員会は、1998年1月19日、~ 銀行におけるリスク管理水準の向上を目指した継続的な作業の一環として、~ 「内部管理体制の評価のためのフレームワーク」を公表し14の原則を定めた。 -定義 --目的 ---業務の有効性と効率性(Effectiveness and efficiency of operations) ---財務報告の信頼性(Reliability of financial reporting) ---関連法規の遵守(Compliance with applicable laws and regulation) --構成要素 ---統制環境(Control Environment) ---リスク評価(Risk Assessment) ---統制活動(Control Activities) ---情報と伝達(Information and Communication) ---監視活動(Monitoring) ***日本における基本的枠組み [#v44e09cd] -日本においては大和銀行巨額損失事件を発端として --商法特例法により委員会等設置会社に体制構築が義務付けられ、 --会社法施行に伴い広く適用されるようになった。 -これに伴い、企業会計審議会・内部統制部会が、 --「財務報告に係る内部統制の評価及び監査の基準」 --「財務報告に係る内部統制の評価及び監査に関する実施基準」 >を2005/12に設定し、日本における内部統制の実務の枠組みを定めている。 -構成~ 基本的にCOSO準拠だが幾つかが追加されている。 --四つの目的 ---業務の有効性及び効率性 ---財務報告の信頼性 ---事業活動に関わる法令等の遵守ならびに ---資産の保全(日本が独自に追加) --六つの基本的要素 ---統制環境 ---リスクの評価と対応 ---統制活動 ---情報と伝達 ---監視活動 ---ITへの対応(日本が独自に追加) **会社法 [#abbd1420] ***法の施行と内部統制の関連 [#w9fb192f] -2006/5/1に施行 -以前は、法律が分散していた。 --商法 --有限会社法 --商法特例法~ (株式会社の監査等に関する商法の特例に関する法律) -コレの統合と社会経済情勢の変化に対応し大幅な改正が行われた。 --株式会社と有限会社を1つの会社類型(株式会社)として統合 --新たな会社類型として、合同会社を創設。 --設立時の出資額規制の撤廃(最低資本金制度の撤廃) --株式、新株予約権、社債制度の改善 --取締役の責任に関する規定の見直し。 --内部統制システムの構築の義務化。 -内部統制との関連 --内部統制システムの構築の義務化。 --内部統制システムの整備の基本方針を取締役会で決定することの義務化。~ (取締役の職務の施行が法令及び定款に適合することを確保するための体制) ***法改正 [#d85ce259] 2014/6成立、2015/5施行。 -社外取締役の起用を促進し、起用しない企業には理由の説明の義務付け -重要な子会社を売るときには株主総会の特別決議(議決権の3分の2以上)が必要。 -親会社の株主が不祥事を起こした子会社の経営陣を訴えられるようにする。 *SOX法 [#a2698443] **米SOX法 [#b227c55a] ***概要 [#sa342f36] -2002年7月に制定 -略称~ 法案を提出した --ポール・サーベンス(Paul Sarbanes)上院議員 --マイケル・G・オクスリー(Michael G.Oxley)下院議員 >の名前をとったサーベンス・オクスリー法。 -正式名称 --上場企業会計改革および投資家保護法 --Public Company Accounting Reform and Investor Protection Act of 2002 ***経緯 [#f427c6e9] -2001年以降の企業で相次ぐ会計不祥事に向けて、-米国政府が制定 --エネルギー企業大手のエンロン --通信企業大手のワールドコム -企業の粉飾決算や不正会計処理を防ぐため、~ 内部統制を強め、管理・点検体制を整えることを義務づけた企業改革法 --該当する企業から独立した取締役で構成する監査委員会の設置を上場企業に義務づけ、 --監査法人の任命や報酬、監督に責任を負わせたほか、 --匿名の告発を処理するよう定めている。 --最高経営責任者(CEO)や最高財務責任者(CFO)は財務諸表の内容に責任をもつ。 ---不適切に財務諸表を修正させた場合にはボーナスの返還 ---故意の虚偽記載には最長20年の禁錮刑や500万ドル以下の罰金を科している。 **日本版SOX法 [#ze4b3d11] ***概要 [#h512672b] -日本版SOX法(日本版企業改革法) --金融商取引法(狭義の日本版SOX法) --財務報告に係る内部統制の評価及び監査の基準案 --財務報告に係る内部統制の評価及び監査に関する実施基準 -2006年6月に制定、2008年4月からが適用 -同法は、 --アメリカの場合よりも限定・簡素化した内容。 ---会計監査制度の充実 ---内部統制を求める法規制 --社内での不正を防ぐ管理体制を強化する。 ---社内に適正な会計手続きのルール(内部統制)があり、 ---守られていることを経営者自らが証明し、 ---監査法人の点検を受けるよう求めている。 -企業は、 --手続きの適正さを検証できるように、 --業務の流れやチェック態勢を文書にしておく必要がある。 -適用 --多くの日本企業は2007年3月期決算から。 --米国の株式市場に上場する外国企業には、~ 2006年7月15日以降に終わる決算から。 ***経緯 [#v76a7cf7] -日本でも2004年(平成16)以降、 --西武鉄道の株式名義偽装 --カネボウの粉飾決算 --ライブドアの粉飾決算 >などが相次いだため、 --金融商品取引法に盛り込まれ、 --全上場企業を対象として >適用された。 ***詳細 [#i5a184af] 金融商品取引法における財務報告の信頼性確保に関する条項の概要 -管理体制を点検・評価した「内部統制報告書」を --決算とともに公表 --有価証券報告書とともに内閣総理大臣に提出するよう定めた。 --また、公認会計士または監査法人の監査を受ける必要があり、~ この結果をまとめた「内部統制監査報告書」も決算時に公表する。 -内部統制報告書などの開示書類に虚偽記載があった場合、 --個人には懲役5年以下ないし --500万円以下の罰金が科せられる。 *IT統制とCOBIT [#q34585f2] **ITへの対応 [#v5418ed8] -[[日本版SOX法>#ze4b3d11]]では内部統制の構成要素として「ITへの対応」が挙げられている。 -「ITへの対応」は、「[[IT環境への対応>#sc56f104]]」と「[[ITの利用及び統制>#abae3530]]」から成っている。 ***IT環境への対応 [#sc56f104] -組織の目標を達成するために、予め適切な方針と手続きを定め、 -それを踏まえて、組織内外のIT環境に対して適切な対応を行うこと。 ***ITの利用及び統制 [#abae3530] -内部統制の他の基本的要素の有効性を確保するために、~ ITを有効かつ効率的に利用すること。 -内部統制の他の基本的要素を機能させることにより、~ ITが有効かつ適正に利用されるよう監視・統制すること。 -以下を十分、考慮する必要がある。 --導入されているITの利便性とその脆弱性 --業務に与える影響の重要性等 **IT統制 [#l1c205c0] [[IT事務処理統制>#r3058fc1]]と[[IT全般統制>#oc92ac6d]]から成る。 ***[[IT事務処理統制>高度午前 - サービス・マネジメント - システム監査#s2cb4d77]] [#r3058fc1] -内容については、リンク先を参照。 -[[日本版SOX法>#ze4b3d11]]中での評価~ 次のような点において有効に整備及び運用されているか評価する。 --ITの開発・保守 --システムの運用・管理 --内外からのアクセス管理等のシステム安全性の確保 --外部委託に関する契約の管理 ***[[IT全般統制>高度午前 - サービス・マネジメント - システム監査#n7d07b85]] [#oc92ac6d] -内容については、リンク先を参照。 -[[日本版SOX法>#ze4b3d11]]中での評価~ 次のような点において有効に整備及び運用されているか評価する。 --有力情報の完全性・正確性・正当性等が確保されているか。 --エラー・データの修正と再利用の機能が確保されているか。 --マスター・データの正確性が確保されているか。 --システム利用に関する適切なアクセス管理がなされているか。 **COBIT [#a5aaaba1] COBIT : control objectives for information and related technology ***概要 [#p0fea8f6] -1992年に作成を開始 --情報システムコントロール協会 (ISACA) --ITガバナンス協会 (ITGI)が -IT管理についてのベストプラクティス集(フレームワーク) --以下を提供して、 ---マネージャ、監査人、ITユーザーに一般に通じる尺度や判断基準 ---ビジネスプロセスやベストプラクティスを --以下を補助する。 ---情報技術を利用して得られる利益を最大化するための ---企業内の適切なITガバナンスや内部統制の開発 ***ドメインとプロセス [#n73441a7] 最新版のCOBITでは、ITガバナンスとITマネジメントのプロセスを -5ドメイン -37プロセス として定義している。 ***能力レベル [#y8e197c9] -0:不完全なプロセス --プロセスを実行していない、またはそのプロセスの目的を達成していない。 --プロセスの目的を体系的に達成しているという証拠が ---ほとんどないか、 ---または全くない。 -1:実施されたプロセス~ 実行したプロセスが、そのプロセスの目的を達成している。 -2:管理されたプロセス~ 実施されたプロセスを、 --管理された方法(計画、モニター、調整)で実行している。 --その作業生産物も、適切に確立し・制御し・維持している。 -3:確立されたプロセス~ 管理されたプロセスを、~ プロセスの成果を達成する事ができる定義されたプロセス~ を使用して実行している。 -4:予測可能なプロセス~ 確立されたプロセスを、 --プロセス成果を達成するために、 --定義された範囲内で運用している。 -5:最適化しているプロセス~ 予測可能なプロセスを、関連する現在の --ビジネス達成目標 --および計画したビジネス達成目標 >を満たすように絶えず改善している。