KAT-TUNと田口関連情報

内部とは？

内部告発とは従業員が自分の働いている職場で「悪いこと」が生じていることを知ったときにその「事実」を外部に公表することを指しています。 これは、新聞やテレビをはじめとする各種のメディアで取り上げられているように、多くの「企業不祥事」が「内部告発」によって明らかになってきたためです。最近では、原子力発電所の「記録改ざん」、日本ハムや雪印の「偽装」、三菱自動車のリコ−ル隠し、等々があり、その他にも数多くの事例を挙げることができます。このためか、「内部告発」を積極的に支持しそれを促すような「流れ」が高まってきています。内部告発者を保護する法律の制定(公益通報者保護制度の導入)を求める動きもその一つです。 内部告発者を保護する法律がすでに欧米では制定されています。例えば、イギリスでは、「公益開示法」が制定(1999年)され、従業員が不正行為を告発した場合、左遷や解雇等の不利益を被ってはならないこと、告発によって失業した場合には上限なしの損害賠償を受ける権利があること、が謳われています。またアメリカには、連邦レベルでは、1999年に「ホイッスル・ブロア−法」が施行され、例えば、内部告発した従業員が降格された場合、元の地位と給与を回復できるように地位保全の訴訟を起こすことが認められていますし、政府の公的契約に関わる不正を告発した者には褒賞金が支払われる制度(1986年制定の「虚偽請求法」)があり、州レベルでも内部告発者を保護する法律が制定されています。その他、オ−ストラリアや韓国でも同様な法律が制定されていることはよく知られています。日本でも実は内部告発者保護法がすでにあります。2000年に制定された「原子炉等規制法」がそれであり、原子力発電所の「記録改ざん」の発覚はその法律に基づいて送付されてきた一通の「告発」の手紙が「きっかけ」となりました。 このような法律が制定されているのは内部告発者が「悲惨な」状況に置かれることになるからです。内部告発者に対する評価は、典型的には、市民のヒ−ロ−か、裏切り者か、の２つに分かれますが、最近発表されたアメリカのレポ−トは、彼らが決して「ヒ−ロ−」ではなく、使用者に対する「裏切り者」として、株主への忠誠心に反する者であるとして、世間の「冷たい眼に」さらされ、「密かに泣き、叫び、苦しんでいる」悲惨な状況をあらためて示しています。 我が国において「内部告発者保護法」が制定されたならば、それは有期雇用者の増加(契約社員の増大)やリストラによって内部告発がおこなわれやすい環境が生まれている現状を「後押し」することになり、多分、匿名の通報者は増加するでしょう。そしてそれによって組織の不正が暴露される為に、その点で言えば確かに「有益」だと思います。特に、内部告発によって「不正な事実」やスキャンダルが流出することを期待しそれらを「政治的に」利用しようとする(内部告発者以外の)人々にとっては。 しかしその法律の制定によって、特に民間企業に勤務する内部告発者自身が「保護」されるかと言えば、かなり疑問であり、「内部告発者保護法」によって内部告発者を保護することは建前としてはともかく現実の問題としては「不」可能です。なぜならば、日本の企業社会は確かに崩れつつありますがいまだ「ムラ社会」であり、更には賃金が成果主義化することによって、逆説的ですが、今まで以上に個人の賃金額が会社の業績とリンクするようになり、企業への依存度が高まってきているからです。このような状況下では、内部告発者は、名前を公表すれば、会社への「裏切り者」として、「共同態としての企業」へのロイヤルティに反する者であるとして、白い眼で見られることは必至であり、通報者が匿名の社員であることが判明すれば密かに「犯人探し」が始まることは充分に予想できる事柄です。 とはいえ、このことは「内部告発者保護法」が無意味であることを意味するのではありません。それは「企業に対して不祥事を起こさないように」というメッセ−ジであり、「抑止力」としての意味を持つことになります。「内部告発者保護法」の「直接の」目的は内部告発者の保護ですが、別の観点からすれば、その「真の」目的は企業不祥事を防ぐことにあります。このような理解にたてば、「内部告発者保護法」は企業が「自助努力によって倫理的な存在」となることへの「大きな外圧」として機能することが期待されるのであり、事実、企業内に「企業内内部告発窓口」を設置する企業が増えつつあります。エ−ザイの「コンプライアンス・カウンタ−」が有名ですが、その他にも、名称は違いますが、帝人の「モニタリング」、三菱自動車の「社員相談室」、等々もそのような制度のひとつです。この「流れ」は今後更に大きくなっていくことでしょう。リスク・マネジメントと総称されているのがこれです。 簡単に言えば、内部告発保護法が機能するためには企業倫理が確立していることが必要なのです。だが我が国では過去に教育機関において企業倫理が教えられたという経緯がないことも一因して、企業関係者の多くは企業倫理の重要性を認識しているとは言えず、日本の企業社会はそのレベルに成熟しているとは言えないの状況下にあるのです。 最後に念のために言っておきますが、すべての内部告発が正当化されるわけではありません。代表的な例を挙げれば、外務省からの情報の「流出」は社会の利益というよりも自分の組織を護るための意図的な情報提供という側面が強いように思われ、それは「内部告発」には値しないものであり、単なる「密告」にすぎないものです。このような企業文化のなかに「公益通報者保護制度」が導入されると、告発が「密告」として受け取られ、告発者の犠牲が大きくなるような危険が更に増大することになります。

[ 112] 内部告発
[引用サイト]　 http://www.nara-su.ac.jp/keiei/2004/current3.htm

内部統制は、企業目的を達成するために欠かせない仕組みであり、経営者には、内部統制を構築するとともにその有効性と効率性を維持する責任があります。平成19年2月15日に企業会計審議会から公表された「財務報告に係る内部統制の評価及び監査の基準」によれば、内部統制とは、次の4つの目的を達成するために企業内のすべての者によって遂行されるプロセスとされています。 また、内部統制を構成する基本的要素として、（1）統制環境、（2）リスクの評価と対応、（3）統制活動、（4）情報と伝達、（5）モニタリングおよび（6）ITへの対応が挙げられています。これら6つの要素が経営管理の仕組みに組み込まれて一体となって機能することで、上記の目的が達成されます。 統制環境とは、組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与えるとともに、他の基本的要素の基礎・基盤となるものです。具体的には次の事項などが挙げられます。 リスクの評価と対応とは、組織目標の達成を阻害する要因を「リスク」として識別し、分析・評価するとともに、そのリスクへの適切な対応を行う一連のプロセスをいいます。 統制活動とは、経営者や部門責任者などの命令・指示が適切に実行されることを確保するために定める方針・手続をいいます。権限や職責の付与、業績評価や職務の分掌などの広範な方針・手続が含まれます。 情報と伝達とは、必要な情報が識別・把握・処理され、組織内外や関係者相互間に正しく伝えられることを確保することをいいます。特に、必要な情報が関係する組織や責任者に、適宜、適切に伝えられることを確保する情報・伝達の機能が不可欠です。 モニタリングとは、内部統制の有効性・効率性を継続的に評価するプロセスをいいます。モニタリングにより、内部統制は常に監視・評価され、是正されることになります。 ITへの対応とは、あらかじめ適切に定められた方針・手続を踏まえ、業務の実施において、組織内外のITに適切に対応することをいいます。特に、組織の業務内容がITに大きく依存している場合や情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するための不可欠の要素となります。 適切な内部統制が存在し、かつ、それが適切に運用されることによって、経営者は業務の有効性や効率性を高め、より高い品質で企業経営を行うことができます。また、株主、投資家や債権者などの利害関係者にとっては、企業の内部統制の整備状況の良否が、安心して投資や取引ができるかどうかの基準となるものと考えられます。 内部統制の整備・運用状況の有効性評価は企業にとって初めての作業であり、どのように行うべきか迷っている企業担当者も多いと思われます。本稿では、内部統制の評価手続の全体像をわかりやすく解説しています。 内部統制の運用状況の有効性評価をするためには、テスト対象として選択した内部統制が一定期間中、デザインしたとおりに適切に運用されているかどうかを確認する必要があります。本稿では運用テストにおいてサンプリングの手法をどのように適用するかについて解説しています。 実施基準に記載されている内部統制の不備の評価方法のうち、業務プロセスに係る内部統制の不備の評価方法と全社的な内部統制の不備の評価方法について、それぞれ実務に適用する場合の考え方について解説しています。 US‐SOXにおいて経験した事例をもとに、IT全般統制（ITGC）の傾向、注意すべき点、マネジメント関与の重要性などについて解説します。 日本における財務報告に係る内部統制の評価及び監査への対応、とりわけIT統制に係る文書化については、何をどのように対応してよいか、また効率的に進めるにはどうしたらよいか、判断に困る管理者も多いと思われます。本稿では、具体的な項目を示しながら、社内のIT統制を把握、評価し、その結果を文書化する方法についてIT全社統制（ITCLC）およびIT全般統制（ITGC）に焦点を当てて解説しています。 IT統制に係る文書化について、本稿では、IT業務処理統制（ITAC）の文書化について具体的に解説します。業務部門とシステム部門の役割分担や、見逃されがちなEUC（エンド・ユーザ・コンピューティング）についても解説しています。 財務報告に係る内部統制においては、経理部門で行う決算・財務報告プロセスの内部統制の有効性を検証することが大きな意味を持っています。本稿では、決算・財務報告プロセスに係る内部統制の文書化と評価の行い方について解説しています。 平成19年2月に公表された「財務報告に係る内部統制の評価及び監査の基準ならびに財務報告に係る内部統制の評価及び監査に関する実施基準の設定（意見書）」について解説するとともに、内部統制の有効性の評価手続等を記録し保存するにあたっての進め方のポイントを解説しています。 日本版SOX法の施行を控え、退職給付制度をめぐる財務報告に係る内部統制の強化や外部委託先への統制強化が重要な課題となっています。本稿では、退職給付制度のガバナンス強化に向けた取り組みの必要性について解説しています。 東京証券取引所一部・二部市場に上場する会社を対象に実施した「日本版SOX対応における取り組み状況調査に関するアンケート」の調査結果を掲載しています。 2006年6月に成立した金融商品取引法により、適正な財務・企業情報の開示を確保するため、上場会社等に内部統制報告書の提出が義務付けられました。本稿では、金融商品取引法のうち、開示制度についての主要な改正点を中心に概要をまとめています。 米国企業改革法における文書化の経験を踏まえて、経営者による財務報告に係る内部統制の評価のための「文書化の進め方」について解説しています。 日本における内部統制制度の現状（1）財務諸表に係る内部統制基準化への動向と文書化について （2006.02） 企業会計審議会の内部統制部会における議論の動向と、制度化された場合にもっとも時間がかかると考えられる文書化の進め方のポイントについて、具体的事例をあげて解説します。 IT統制の成熟度を高めていくには、まず起こりうるITリスク自体を認識すること、そして、限られた経営資源の中で無理なくIT成熟度を高めていくよう、常に改善を行っていくことが重要です。本稿ではこのサイクルについて、具体例を交えながら前編・後編の2回に分けて解説していきます。 日本版SOX法の導入が検討され、企業の財務報告に係る内部統制についてより厳格な外部検証が求められる傾向の中で、今後、株式公開を目指す非上場企業が公開準備作業を進めて行く上で必要となる対応について考察しています。 IT統制の成熟度を高めていくには、まず起こりうるITリスク自体を認識すること、そして、限られた経営資源の中で無理なくIT成熟度を高めていくよう、常に改善を行っていくことが重要です。本稿ではこのサイクルについて、具体例を交えながら前編・後編の2回に分けて解説していきます。 米国企業改革法を参考にしながら、わが国の公表財務報告書の信頼性を確保するために、どのように内部統制を構築しそれを評価すべきかについて、解説しています。 代表者確認書制度の導入状況、導入に向けた取組事例を紹介し、さらにCSR（企業の社会的責任）経営の視点から解説を加えています（KPMG Japanホームページ）。 「内部統制を考える」に引き続き、COSOを実務に適用し企業の内部統制を整理、分析する際に特に理解すべき活動区分の軸、そして会社レベルの統制概念について説明しています（KPMG Japanホームページ）。 2004年4月に証券取引法に基づく開示制度の改訂により導入された代表者確認書について解説しています（KPMG Japanホームページ）。 日本においても、米国証券取引委員会（SEC）に登録または登録を予定している日本企業およびSEC登録企業の子会社・支店は、米国企業改革法（SO法）の適用を受けています。同法の内容は、今後日本の法令・基準に取り入れられる可能性があります。本稿では、SO法のうち、とりわけ経理・管理部門に関連が深く、かつ影響の大きいSO法第404条「経営者による内部統制の評価」に焦点をあてて解説しています。 「証券取引法等の一部を改正する法律の施行等に伴う関係ガイドライン（案）」に対するパブリックコメントの結果について 「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」 「IT委員会報告第3号「財務諸表監査における情報技術（IT）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」（公開草案）の公表について コーポレートガバナンス及びリスク管理・内部統制に関する開示・評価の枠組について−構築及び開示のための指針−（案） 企業会計審議会内部統制部会の公開草案の公表について−財務報告に係る内部統制の評価及び監査の基準（公開草案） 「自己資本比率の算定に関する外部監査を『金融機関の内部管理体制に対する外部監査に関する実務指針』に基づき実施する場合の当面の取扱い」について

[ 113] あずさ監査法人 | 内部統制
[引用サイト]　 http://www.azsa.or.jp/b_info/keyword/tousei.html

【実践！内部統制】(26)リコー IT全般統制にISMSを生かす内部監査の項目を一体化し作業の重複を排除 ニューヨーク証券取引所に上場するリコーは，米SOX法対応で1度目の監査を終えた。2004年12月に認証を受けた「ISMS」を生かして情報セキュリティ関連の統制を進めるなど，IT全般統制の整備の効率化を図っている。 “After J-SOX”研究会が発足，「内部統制の次の一手は連結経営」 日本版SOX法（J-SOX）対応後の企業経営を考える非営利団体「After J-SOX研究会」が11月26日，発足した。現在，上場企業やその連結子会社が整備・運用している内部統制を，「企業価値向上としてとらえるための施策を研究する」（アビームコンサルティングの永井孝一郎プリンシパル）のが狙いだ。連結経営やERM（エンタープライズ・リスク・マネジメント）を研究テーマに掲げている。 不祥事後，調査委員会をいかに設置し，運用するか（その5）調査委員会を設置・運用する具体的プロセス(1) 今回からは調査委員会を設置・運営するプロセスについてお話をさせていただきたいと思います。調査委員会の実施ステップは次のような6段階に分けることができます。 【こちらセキュリティ相談室】ノート・パソコンからの情報漏えい（後編）短いパスワードは無いも同然，「鍵」は別の場所に分けて置く Windows 95/98/Meからアクセスする必要がないパソコンであれば，LMハッシュの存在は有害無益。LMハッシュを残さないようにする簡単な方法は，パスワードを15文字以上にすることだ。■ノート・パソコンからの情報漏えい（前編） 【ITエンジニアが取り組む内部統制】リスク4：変更管理ができていない KPMGビジネスアシュアランスの橋本氏は，「記録を残さず，ユーザー部門からの電話1本でシステムを変更しているITエンジニアが少なくない」と指摘する。これは，日本版SOX法対応という観点では大きなリスクと見なされる。■リスク3：開発と運用が分離できていない■リスク2：不正入力が可能■リスク1：アクセス権管理が甘い■J-SOX対応のリスク対策、その4本柱とは KPMGビジネスアシュアランスの橋本氏は，「記録を残さず，ユーザー部門からの電話1本でシステムを変更しているITエンジニアが少なくない」と指摘する。これは，日本版SOX法対応という観点では大きなリスクと見なされる。 前回に続き，J-SOX対応で知っておくべき重要な用語を解説する。意味を再確認し，内部統制の整備や有効性評価，外部監査人による監査を的確に実施するのに役立ててほしい。 J-SOX商談で，ソリューションプロバイダと監査人がともに「重要なビジネスになる」と口をそろえるのがアウトソーシング。特に中堅・中小企業向けのサービスは成長が期待できそうだ。業務プロセスの標準化をできるだけ進め，標準化できない個別部分と切り分けて，監査対策を実施することが重要だ。 本連載の最終回では，「IT統制の成熟度」をテーマに取り上げる。「COSOの5要素」のそれぞれについて回答企業に自己評価してもらったところ，特に「リスク評価」のスコアが低かった。内部統制に早く着手した先行企業ほどスコアが高いが，業務改善効果を実感するまでは至っていないケースが多い。 文書化テンプレート選択の最後のポイントは，文書に記述する業務内容やリスクの表現方法。例えば，「誤って計上するリスク」を示す場合，提供企業や対象業務によって，その表現方法は千差万別になる。例示するリスクをどのような観点で選んだかも，各社で違う。 NTTレゾナントと三菱総合研究所が運営するgooリサーチによると，上場企業の社内IT整備に携わる担当者に，内部統制における文書化に使用しているアプリケーションについて尋ねたところ，回答者の半数を上回る55.2％の人が「Word，Excel， PowerPoint，Visioなど，汎用性の高いOAアプリケーションで作業している」と答えた。 ニューヨーク証券取引所に上場するリコーは，米SOX法対応で1度目の監査を終えた。2004年12月に認証を受けた「ISMS」を生かして情報セキュリティ関連の統制を進めるなど，IT全般統制の整備の効率化を図っている。 いよいよ本連載の最終回である。今回は，IT業務全般を分類してITサービスのベストプラクティスを体系化した「ITIL」と，情報セキュリティのフレームワークに基づいて，ガバナンス向上の考え方を解説する。 ERPには，監査向けの帳票出力機能やデータ変更履歴の保持機能を備えている。これらの活用方法を検討するとともに，“運用後”を見据えたアプリケーション選定について解説する。 日本版SOX法プロジェクトの進め方（全7回）日本版SOX法は恐くない―IT部門の必須知識と心構え（全3回） J-SOX対応に役立つ「COBIT for SOX」第2版内部統制を意識したプロジェクトマネジメント（全3回） 公認会計士・深見浩一郎が解く「内部統制監査」対策の基本（全8回）すぐ使える経営改革手法＜内部統制＞（全6回） 日本版SOX法が求める「ITの統制」の整備は，主にIT部門の役割だ。そのIT統制は，評価を受けなければ整備されたとは言えない。評価者は，評価の対象業務から独立し，客観性を保つことが求められる。IT部門自らがIT統制の評価することはないが，そのプロセスを知っておく必要がある。 経産省の「J-SOX指針」、システム部門に向けITの視点から記述ITベンダーから見た「実施基準」の意味 日本版SOX法「実施基準案」を使いこなすポイントJ-SOX「実施基準案」、システム部門は「IT統制」の読み方に注意を ついに公開されたJ-SOX「実施基準案」の中身とは（全3回）「日本版COSO」の構成要素を理解する（前・後） ログ解析ツールを選択する際には，データ項目の指定方法やサーバーの拡張性など，4つの点に留意する必要がある。各点において，製品による違いがどのような影響を及ぼすかを解説する。 日本版SOX法（J-SOX）の適用が始まる2008年4月までいよいよ半年を残すのみとなったが，「準備万端」と言える企業は多くない。「何をどこまでやるべきなのかということに確信が持てない」といった悩みを持つ実務担当者があふれている。ともすると孤立しかねない現場の生の声を，経営者をはじめ様々な関係者に知ってほしい。 【資料2】財務報告に係る内部統制の評価及び監査の基準 並びに 財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）（案） 【資料2】システム管理基準 追補版（財務報告に係るIT統制ガイダンス）（案）に対する意見募集の結果について 情報システム 業務アプリケーション 上流工程 SaaS＆Enterprise 2.0 グローバル・ソーシング ITpro協力誌 日経コンピュータ 日経コミュニケーション 日経SYSTEMS 日経情報ストラテジー 日経NETWORK 日経ソリューションビジネス 日経ソフトウエア 日経Linux 日経ニューメディア 日経BPガバメントテクノロジー 日経パソコン 日経BPソフトプレス IT経営 システム開発 プロマネ＆アーキテクト ネットワーク最新テクノロジー 業績＆業界動向 セキュリティ Windows オープンソース 製品＆サービス・ディレクトリ 業務アプリケーション 設計開発 OS/DB/ミドルウエア サーバー/ストレージ 運用管理 ネットワーク セキュリティ SIサービス 通信サービス クライアント/OA機器

[ 114] 内部統制.jp ： ITpro
[引用サイト]　 http://itpro.nikkeibp.co.jp/tousei/index.html