「内部統制クリア」にはＥＲＰが有効であるか。

Question

当社は従業員６００人規模の上場会社です。当方はシステム部門に所属しています。
　２００８年度の内部統制の施行により、販売、経理等の基幹幹システムの安全性を監査法人がシステム監査する（０８年度末）と聞いております。
　その際、いわゆる「手作りシステム」の場合は、不正のできない、安全であるという証明がとても大変なのでＥＲＰパッケージの導入を親会社の方から進められています。
　システム監査をクリアするには「手作りシステム」をこの際止めＥＲＰの導入をしたほうがいいのでしょうか。また、「手作りシステム」のままにして置いて、多くの指摘事項が出ると上場会社としてまずいのでしょうか。
　上記よくわかりません。よろしく御願いします。

gokkiiiie · Accepted Answer

多分ごらん頂いてると思いますが、概要はこちらのサイトをご覧下さいませ。

ちょっと前に日経主催で内部統制の展示会が行われました。そこで軽く伺った限りでは、内部統制のパッケージ（ERP)を入れる予算があるのなら良いのですが（規模によりますが、何千万～億ですよね）
そこまで予算を注ぎ込めないのなら自社でシステムを構築し、それをJ-SOX法に詳しい専用のコンサルに見てもらうと言う方法も良いかも知れません。

結局は予算と人員によると思います。　当社は…だったので、後者で行こうと話を進めております。

参考URL：http://itpro.nikkeibp.co.jp/tousei/index.html

mot9638 · Answer

こんにちは
#1です。
補足ありがとうございます。

結論から申し上げるとＥＲＰは非常に有効です。
ただ#2さんも言っていましたが、高額ですよね。
ＳＯＸではコントロールの有効性と同じくらい「ログ管理」が重要です。
「いつ」「誰が」そのファイルにアクセスし、「何をしたか」
等の履歴がわかるようにしておかなくてはいけません（監査証跡）。
そういう意味ではＶＢ等で作成したシステムはこの部分が難しい
ので、ＥＲＰを導入しなくても何らかの対策は打つ必要があると思います。
ただ、ＥＲＰを導入したからといってご質問タイトルの「内部統制クリア」
にはなりません。
コントロールの文書化やアクセス権（これは非常に重要です）の管理を
きちんと行う必要があります。
ＥＲＰを導入してもこの部分が不十分だとシステム監査はクリアになりません。
特に「administrator」などの権限付与は職務分掌とあいまって完璧に
管理する必要があります。
文書化もほとんどが「手順」が書いてあるだけで、実際の「リスクに対する
コントロール」が書かれていないものが多く、指摘対象になります。
内部統制はあくまで「リスクをコントロールする仕組み」のことなので、
適切にリスクが洗い出されていて、それに対するコントロールができている
ことが大前提です。自動化（ＥＲＰの導入など）はその一助にすぎません。
ＳＯＸは「財務報告に係る」のが前提の法律なので、そこ以外はばっさり切る
などの割り切りも必要だと思います。

mot9638 · Answer

こんにちは

ご質問は「金融商品取引法」の求める「財務報告の適正性に関する
内部統制報告書の提出と監査」
（２４条４－４、１９３条２－２、いわゆる「日本版ＳＯＸ法」）に関して
でよろしいのでしょうか？
少し補足を頂きたいのですが、「手作りシステム」というのはＥＵＣ（部門システム）
のことですか・それともエクセルやアクセスなどのスプレッドシートの
ことですか？
ちなみに日本版ＳＯＸは米国のＳＯＸと違い、「監査法人によるシステム監査」
（いわゆるダイレクトレポーティング）は行いません。
あくまで企業が構築した「内部統制及び評価」に関して監査法人が監査するだけです。
要は自分の会社の監査部の方がシステム監査をして、「その監査報告が正しいかどうか」
を監査法人が見るという形を取ります。
それに「システム監査」は「内部統制監査」の１つでしかありませんし、
そこだけを監査法人が見るわけではないです。

「内部統制クリア」にはＥＲＰが有効であるか。

多分ごらん頂いてると思いますが、概要はこちらのサイトをご覧下さいませ。

こんにちは

こんにちは

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング