- SOX
- 全社統制
- 業務プロセス統制
- 決算財務報告
- 決算財務報告プロセス
- 決算・財務報告プロセスに係る内部統制
- 決算財務全社統制
- 決算財務業務処理統制
- IT全社統制
- IT業務処理統制
- IT全般統制
- エンドユーザーコンピューティング
- データダウンロード技法
- コンピュータ支援監査技法
- データ分析法
- ロボットによる業務自動化
監査法人と話していると横文字がやたら出てきます。アジェンダとかスコープだとか。日本語でも表現できるだろうにと思うのですが。
特にJ-SOXや監査に係る略語はネット検索をしてもあまりヒットしないので簡潔にまとめておきます。
監査法人や会計士個人個人によっても用いる用語が異なるようです。
出所不明の自己流理解です。
SOX
SOx( Sarbanes Oxley Act of 2002 )
米国の上場企業会計改革および投資家保護法。サーベンス・オクスリー法や企業改革法、SOX法ともいう。米国版と明示するため US-SOX と表記することもある。
企業会計・財務諸表の信頼性を向上させるため、企業統治の徹底・情報開示の徹底・監査の独立性強化・経営者の説明責任強化などを求めるしくみ。
年次で内部統制報告を行うことを義務付け。公認会計士には財務諸表だけでなく企業の内部統制についても監査することを義務付け。
SOxは提案者の人名から来ており、Sarbanes さんと Oxley さんの Ox なので x は小文字で表すのが本来のようだ。
J-SOX( Japanese version of the Sarbanes Oxley Act )
日本が金融商品取引法の中で定めた、米国のSOxとほぼ同様のルール。
当初、J-SOx のように x を小文字で表す人もいたが、最近はすべて大文字にしている人が多いようだ。
企業会計審議会の策定した「財務報告に係る内部統制の評価及び監査の基準」、「財務報告に係る内部統制の評価及び監査に関する実施基準」がバイブルとなっている。
会社法の求める内部統制は業務全般が対象となるのに対して、J-SOXでは「財務報告に係る」という文言がクセモノ。「内部統制=J-SOX」と短絡的に考えている経営者もいるようで、財務報告との関連の薄い業務で不正や事件が起こったときに「ウチは内部統制をしっかりやっているのじゃなかったのか」と炎上するケースも。
全社統制
ELC( Entity Level Controls )
CLC( Company Level Controls )
J-SOXでは「連結ベースでの財務報告全体に重要な影響を及ぼす内部統制」のこと。
経営方針・職場の雰囲気・組織体制・モラル風土など。
実務上は「財務報告に係る内部統制の評価及び監査に関する実施基準」に例示されている42項目をベースとして考える。
業務プロセス統制
PLC( Process Level Controls )
業務プロセスに係る内部統制。
決算財務報告
FS( Financial Statements )
FR( Financial Reporting )
財務報告。
決算財務報告プロセス
FSCP( Financial Statements Close Process )
財務報告を作成するプロセス。
決算・財務報告プロセスに係る内部統制
ICFR( Internal Control over Financial Reporting )
FCRP( Financial Controls for the Reporting Process )
財務報告の信頼性を確保するための内部統制。
決算財務全社統制
FRELC( Financial Reporting Entity Level Controls )
財務報告を作成するプロセスのうち全社的な観点で整備及び運用状況を評価することが適切と考えられる統制。
マニュアルや規程を作り適切な人材を割り当てたりといったことは、決算財務だけに限ったものではなく全社に適用される統制であり、その考え方で決算財務にしかけた統制のこと。
経理規程や決算方針などのルールを定めたり、日程や方針を連絡し必要な情報を回収し、作業にあたって上長承認を必須とするなど、全社統制と同様の統制となっている。
決算財務業務処理統制
FRPLC( Financial Reporting Process Level Controls )
財務報告を作成するプロセスのうち個別業務プロセス的な観点で整備及び運用状況を評価することが適切と考えられる統制。
見積りや経営者による予測を伴う重要な勘定科目に至る業務プロセス。
貸倒引当金や減損損失などについて算定が正しくなされるように設けられた統制。
IT全社統制
ITELC( IT Entity Level Controls )
ITCLC( IT Company Level Controls )
CLITC( Company-Level IT Controls )
企業グループ全体のITを健全に維持する内部統制のこと。ITについての経営戦略・計画・方針など。
「財務報告に係る内部統制の評価及び監査に関する実施基準」に例示されている42項目のうち最終5項目が該当すると考える。
システムごとに異なる統制の話ではなく、連結ベース全体に適用される内部統制のこと。
ITGCと混乱している説明も見受けられるように感ずる。
IT業務処理統制
ITAC( IT Application Controls )
ITに係る業務処理統制。自動化された業務処理統制。
個々のITシステムにて取引が正確に処理・記録されることを担保する内部統制。
自動計算・入力値制限・システム自動連携など
IT依存手作業統制を含むこともある。例)ITにより売掛債権リストに基づき精査や承認を行う
IT全般統制
ITGC( IT General Controls )
GITC( General IT Controls )
よく見かけるのは ITGC の方。
ITを利用した情報システムの運用・管理に関する統制活動のこと(IT委員会研究報告第31号の説明)
アプリケーションを支えるIT基盤それぞれについて開発・変更・運用・アクセス・外部委託の観点から統制する。
ITACを有効たらしめる統制なのでキーコントロールにITACがなければITGCを評価する義務はない。
評価する義務がないことは、IT全般統制を行わなくて良いということではない。
エンドユーザーコンピューティング
EUC( End User Computing )
システム部門以外のユーザーがシステムの構築や運用にあたること。
MS-Excelで作成したファイルをテンプレートのように使い回すことはよくあるが、これも簡易なEUCの例。
MS-Access,MS-Excelなどでかなり複雑なシステムをユーザーが構築していることもある。
システム統制(その中でもITAC)とみなしてITGCの観点で評価すると問題点が見つかりやすい。
データダウンロード技法
DDL( Data Download )
企業活動の多くはコンピュータ内にデータとして保存されているので、それをダウンロードして検証する監査技法。
コンピュータ支援監査技法
CAAT(Computer Assisted Audit Techniques)
DDL技法の発展。一部監査業務自体の自動化と監査のためのデータ取得・加工の自動化に分けられると思う。
例えば接待交際費・出張旅費など、CAATを活用し、一回の出金が異常に多い人、回数の多い人、を抽出するなど。
例えば、コンピューター上で商品紛失日と勤務シフトを突合して容疑者を絞り込む等。
あるいは、複数年の売上高と物流輸送費のデータから、売上高が伸びているのに物流輸送費が伸びていなければ架空売上の可能性を検証する等。
データ分析法
D & A(Data Analytics)
売上データや仕入データなど、対象とするデータ母集団すべてについて検討を行うこと。コンピューターの進歩により、大部分の企業のデータであれば、パソコンレベルでも全データの分析ができるようになった。CAATの高度化と考えられる。
全母集団を把握することで正常値の範囲が特定できるため、異常値を定義しやすくなり、監査の効率化が期待できる。
ロボットによる業務自動化
RPA( Robotic Process Automation )
これまで人間がやっていたことをプログラムにやらせてしまうこと。機械学習やAI技術の高度化などで可能となった。
現状では AI 機能を有しないプログラム処理のことも RPA と呼んでいるようだ。
例えば、Excel や CSV 、固定長テキスト、様々な形式の仕訳データから必要な形式のデータとして取得する際の加工は自動化すると効率アップに大いに役立つ。