内部統制 「内部統制報告制度に関するQ&A」の追加について
内部統制報告制度はいわゆる「日本版SOX法(J-SOX)」を指すものと思われます。システム変更やIT統制の評価範囲、電子メールの保存などに関するQ&Aが新たに追加されました。金融庁から6月24日に公開されました。
「内部統制報告制度に関するQ&A」の追加について
http://www.fsa.go.jp/news/19/syouken/20080624-3.html
特筆すべきところは、(問39)【中小規模企業におけるIT 環境】。販売されているパッケージ・ソフトウエアをそのまま利用するような比較的簡易なシステムを有している場合には、個々のITに係る業務処理統制よりも、ITに係る全般統制に重点を置く必要がある。
重要なシステム変更がない場合には、ITに係る全般統制が有効であるこ
とを確認した上で、ITに係る業務処理統制については、毎期評価を実施せ
ず、過年度の評価結果を利用できるものと考えられる。
中小企業では、パッケージソフトを中心に業務を回しているケースが多い。そのようなケースに対して、ここの業務処理統制よりも全般統制に重点を置くこと。そして、毎期評価せずに、一度評価した前年以前の評価を再利用できると明記されている。
実施基準の内容がそのまま記載されている感じ。新しい解釈と言うよりは、実施基準の考え方を徹底させたいという狙いではないだろうか。
また、「監査基準18号」についても記載されている。(問24)【受託会社による評価結果の報告】では、内容や様式は業務等の状況に応じて適切に判断すべきであり、必ず「委託業務に係る統制リスクの評価」(監査基準委員会報告書15第18号)に基づく報告書が必要になるわけではない。と明記されている。
これは、今までの解釈では、アウトソーシング先は監査基準18号を取得すべきという流れであったと思うが、少し緩めた気がする。
ぜひ、一度お読みいただきたい文書です。
