皆さんご存じの通り、12/8 に金融庁の企業会計審議会 内部統制部会から 「財務報告に係る内部統制の評価及び監査の基準のあり方について」という文書が公開されています。 ここに書いてあるように今後 "御上" の中でしかるべきプロセスを経て、証券取引法が改正されるようです。

きっと IT ベンダーの企画担当者やコンサルティング・ファームは、皆こぞってこれを熟読しているんじゃないかと思います。「日本ではダイレクト・レポートは不採用だから楽チンだね」とか、「COSO と違って "資産の保全" が追加された」とか、「"IT の利用" が "IT への対応" が変更されたね」とか、「2008 年 3 月期開始って噂だけど無理だから遅らせようよ」とか、「日本はサラリーマン社長だから罰則規定は設けないよ」とか、「新会社法とか商法にどう影響すんのよ」とか、「そもそも日本版 SOX 法なんて新法はねぇんだよ、ボケ」等々のお話は様々な識者がネット上でも言及されているので、それはさておき、別に監査の専門家ではない私は謙虚にしくしくと、この文書を専門のアイデンティティ管理の視点でコメントしてみたいと思います (って、おいおい結構大胆だな！)。

　統制環境としては、例えば、次の事項が挙げられる。
・・・
⑤ 組織構造及び慣行
⑥ 権限及び職責
⑦ 人的資源に対する方針と管理
(10 ページ中段)

「財務報告の信頼性に関して・・・・、財務報告プロセスや内部統制システムに関する組織的、人的構成がどのようになっているか」を追求されるわけです。つまり、人事や組織情報を管理しているシステムと統制対象となるシステムの密な連携が必要になってきます。

① リスクの評価
　リスクの評価とは、組織目標の達成に影響を与える事象について､組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセスをいう。
　リスクの評価に当たっては、組織の内外で発生するリスクを、組織全体の目標に関わる全社的なリスクと組織の職能や活動単位の目標に関わる業務別のリスクに分類し、その性質に応じて、識別されたリスクの大きさ、発生可能性、頻度等を分析し、当該目標への影響を評価する。
(11 ページ上段)

事前に取り決められた監査ポリシーに対し、どれくらいの頻度で違反があったのか (違反がありそうなのか) を、ポリシーごと、組織ごと、職能ごと、業務ごとに把握、評価する仕組みが必要になります。

（３） 統制活動
　統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続をいう。
　統制活動には、権限及び職責の付与、職務の分掌等の広範な方針及び手続が含まれる｡このような方針及び手続は、業務のプロセスに組み込まれるべきものであり、組織内のすべての者において遂行されることにより機能するものである｡
（注） 財務報告の信頼性に関しては、財務報告の内容に影響を及ぼす可能性のある方針及び手続が、経営者の意向どおりに実行されていることを確保すべく、例えば、明確な職務の分掌、内部牽制、並びに継続記録の維持及び適時の実地検査等の物理的な資産管理の活動等を整備し、これを組織内の各レベルで適切に分析及び監視していくことが重要になる。
(11 ページ下段)

「担当者にシステムへのアクセス権を付与する仕組みやプロセス」を明らかにし、「誰がどこにアクセス権をなぜもっているか」を把握し、記録として残しておく必要が出てきます。

（３） 「財務報告に係る内部統制が有効である」とは、当該内部統制が適切な内部統制の枠組みに準拠して整備及び運用されており、当該内部統制に重要な欠陥がないことをいう。
（４） 「重要な欠陥」とは、財務報告に重要な影響を及ぼす可能性が高い内部統制の不備をいう。
(18 ページ中段)

この「重要な欠陥」にはどのようなものがあるのか？ 米国 SOX の場合は、多いものとしてこんなのものがあります。国内の SEC レジストラントの多くは文書化作業に追われてますが、それにまつわる欠陥は 10 番目なので、それほど多くはないことがご理解いただけるかと思います (文書化は初めに片付けてしまえば、それ以降は問題にならないってことですね)。

（５） 内部統制の重要な欠陥の是正
　経営者による評価の過程で発見された財務報告に係る内部統制の不備及び重要な欠陥は、適時に認識し、適切に対応される必要がある。
　重要な欠陥が発見された場合であっても、それが報告書における評価時点（期末日）までに是正されていれば、財務報告に係る内部統制は有効であると認めることができる。
（注） 期末日後に実施した是正措置については、報告書に付記事項として記載する。
(20 ページ下段)

例えば、職務の分掌などが徹底されてなかった場合、すぐさまそれを検知し、担当者に通知し、是正行為を行う必要があります。

（７） 評価手続等の記録及び保存
　経営者は、財務報告に係る内部統制の有効性の評価手続及びその評価結果、並びに発見した不備及びその是正措置に関して、記録し保存しなければならない。
(21 ページ中段)

さらにその是正措置に関する記録を残しておかなければいけません。また、その記録が改竄されないようにする必要も出てきます。

（４） 業務プロセスに係る内部統制の評価の検討
・・・
　監査人は、経営者が評価した個々の統制上の要点について、内部統制の基本的要素が適切に機能しているかを判断するため、実在性、網羅性、権限と責任の明確性、記録の十分性等の監査要点に適合した監査証拠を入手しなければならない。
(24 ページ下段)

権限と責任 (Accountability) の明確性については、「誰がどの業務に対して職務を持っているのか = 誰がどのシステムにアクセス権限を持っているのか」ということになるのではないでしょうか？ これを財務報告書に係る内部統制の対象となる全ての業務システムと、それを支えるプラットフォームに対して行う必要が出てきます。

っていうわけで、以上所感でした (今回はオチなしです)。