内部控制(J-SOX)(3)资料下载.pdf

1、即使在同一部门，如果小组不同，就不知道对方究竟在做什么。经常把时间花费在查找必要的文件和数据上。关于出差费和交际费的申请，没有明确的步骤书和批准规则。知道上司或同事利用系统时的密码。负责人不在时，会受人所托做自己权责之外的工作。自己休假时，没有一个能确保同等技能的环境。没有可以共同分析工作中问题的对象。对于来自顾客和客户的投诉，没有其有关处理步骤和报告的规定。对于顾客资料的使用没有明确的规定。再不设置密码的情况下，用电子邮件把顾客数据发送给公司外部人员。设定明显不可能完成的目标。在明显人手不够的情况下，经常把大范围的工作集中到特定的某个人。批准各种申请书的人员并非是对申请内容很了解的人员。工作

2、中经常使用私人电脑。谁都可以浏览公司内网络中的数据。公司内经常发生各种系统故障。使用 Winny 等 P2P 文件交换软件。没有制备系统的使用步骤书和操作说明书。69出差申请表日時：出張先：目的：申請者：承認工作报告书日時：報告者：批准批准者?使用申请书时间：申请者：批准错误工作报告书日時：批准出差申请表时间：出差地点：批准非法5-4 通过内部控制改变的业务活动第 5 章 致力于内部控制1核查机能的强化为了降低存在于经营业务内部的风险，确认和批准等核查工作必不可少，在维持正确的企业活动方面起着重要作用。但是往往有这样的情况，那就是粗看上去核查的程序似乎在有效地发挥着作用，但经过对企业实体重新检

3、验后，会发现实际上进行的都是完全没有意义的核查工作，原本所必需的核查工作却被忽略了。在业务流程中的什么环节需要什么级别的核查机能？而且，以什么样的目的，应该由谁来进行核查？借此机会对这些进行重新审视，从而实现一个使核查机能有效发挥作用的框架，这是很有必要的。第5章第 5 章 致力于内部控制70例如像这样来改变！贯彻实行没有错误和非法行为的正确的业务处理确保并证实核查机能的有效性及早发现问题并迅速应对对例外处理进行统一的应对制定与各程序中必要的确认、批准作业有关的明确规定以及关于例外处理的步骤书对批准者设定合理的权限潜在的风险由同一人来进行申请和批准的处理由不了解工作内容的人来进行批准、确认密码

4、公开化未经许可而代替进行申请处理错误和非法行为的失控发现问题的迟缓非法的业务处理现状现状内部控制的实例内部控制的实例业务上的效果业务上的效果OK71目标提高工作热情提高工作热情责任权限权限责任权限权限责任权限权限责任权限权限提高企业价值提高企业价值目标目标目标目标目标目标目标目标2责任范围的明确化大概谁都听到过“拜托！帮帮忙！”这样的话吧，在没有明确指示的情况下，这种说法大都带有不负责任的性质，也可以理解为是转嫁责任。这时会存在被委托的对象不能很好地掌握工作内容，或者在进行被委托的工作时没有必要的技能和权限等情况。这不仅发生在上司和部下的上下级关系中，而且也是在组织之间可能发生的问题。如果就这

5、样在职责所在不明确的情况下执行工作，风险就会增大。“没有拜托你连这些也要做”，或者“你没有拜托我连这些也要做”等这样主观认识上的差别，有可能会阻碍目标的达成，这种不负责任的工作经过积累后有时会酿成重大失误。通过明确责任范围，组织和个人都可以制定明确的目标，从而激发每个人的工作热情，进而能够提高组织整体的工作质量。在进行工作时，抱着什么样的目的做什么事才是自己的职责范围？而且是否被赋予了必要的权限？这些都要经常确认。第5章第 5 章 致力于内部控制72例如像这样来改变！维持完成目标的工作热情 提高每个人的工作质量对问题进行合理而迅速的应对业务上的效果业务上的效果明确各负责人的责任范围，并赋予相对

6、应的合理权限使相关内容书面化内部控制的实例内部控制的实例潜在的风险因不明确的指示造成模糊的权限移交因为不承担相应的责任而造成危机意识的欠缺错误和非法行为的失控由于发现和应对的迟缓造成问题的扩大养成没有责任感的企业素质现状现状73原来的原来的差距差距商业环境的变化制度步骤书说明书原来的原来的原来的3确保合理的使用环境在信息泄露已成重大问题的现在，安全性对策对于所有的企业都是首要的课题。在企业中，除了应对病毒的对策之外，个人信息的处理、数据的带出和带入等，各种安全性课题都必须要慎重地进行应对。但是往往在我们忙于眼前对策的时候，在一些至今为止理所当然运用的制度以及系统之中，有时存在着一些意想不到的被

7、我们忽视的风险。例如，已经辞职的职员在辞职后还被允许进入办公室，公司内的网络始终处于可连接的状态等，这些在安全性上不合规定的运用被置之不管的事例是存在的。如果不符合现状的制度和系统就这样使用下去的话，风险就会不断增大。特别是对于飞速变化的当今商业环境，“应对变化的能力”已经成为了重大课题。借助内部控制的实施，给了我们一个通过查明所有的风险来发现平常容易疏漏的问题，并直视这些问题的机会。第5章第 5 章 致力于内部控制74例如像这样来改变！强化安全环境执行顺畅的业务处理运用管理业务的最佳化业务上的效果业务上的效果现状现状重新审视设备和其它用品等的使用规则及管理体制通过重新审视使用说明书来强化系统

8、运用管理体制对查出的风险实施合理的安全性对策内部控制的实例内部控制的实例潜在的风险不符合现状的制度和系统被继续使用安全性方面混乱的运用管理体制系统的陈旧机密信息的泄漏信息和设备的非法利用因系统故障造成的数据丢失OK75辞职外出休假4规则和步骤的明文规定在应对日本版 SOX 法案的过程中，书面化是重要的工作之一。通过这项工作，可以把关于内部控制的组织和业务上的问题普及给所有员工。例如，通过制成业务流程图，规则和步骤书等不完备之处就显现出来了。此外，还可以察觉到：对于目前为止进行的工作步骤，每个负责人都互不相同，而且其中依靠个人感觉和经验的部分也出乎意料的多。负责人休假时或离职后，如果不能迅速的交

9、接工作，就会降低工作质量、丧失商业机会。另一方面，即使是应对意外事情，只要根据应该遵循的步骤书，就能够确保企业的信用。可以说规则和步骤的明文规定，对于所有企业来说都是维持竞争力的重要课题。第5章第 5 章 致力于内部控制76例如像这样改变！工作的高度效率化工作质量的维持应对人才流动（顺畅的工作和技术诀窍的继承）业务上的效果业务上的效果现状现状业务的标准化、规则和步骤的书面化内部控制的实例内部控制的实例潜在的风险习惯于用口头传达指示负责人之间互不相同的工作步骤负责人独断的决策依靠个人的力量执行业务业务上的判断失误顾客投诉的发生应对问题的迟缓及其不合理的应对因人材流失造成工作质量下降77浪费浪费浪

10、费5工作的效率化如果能在最短的时间内处理最多的业务并能最正确地实行，企业就可以产生更多的利益。无利益的工作越多，带给公司的损失也越多。工作越繁杂，用在正确把握风险的工作上的时间也就越多。即使是在不抱有任何疑问的正常运行的业务中，也存在着想象不到的浪费。但习惯是一个很可怕的东西，对于不合理的、很费事的工作，如果将处理其本身作为目标来进行的话，那就与业务改善的初衷相距甚远了。因此，从“难道就不能更加有效率吗”这一角度来重新审视工作，无论对于公司还是对于工作现场都是非常有效的。不知您是否记得，在金融厅发表的基准法案中，就将“经营业务的有效性与效率性”作为内部控制的目的之一进行了记述。内部控制是一种通

11、过各种业务改善，最终建立一个舒适的业务环境的机会。把这方面作为积极的因素，积极致力于推进应对日本版 SOX 法案的一系列工作，进而努力达到业务改革的目标。第5章第 5 章 致力于内部控制78例如像这样改变！工作的高度效率化和速度的提升通过自动化来执行正确的业务处理保存各种信息履历业务上的效果业务上的效果现状现状通过引入工作应用程序实现业务流程的自动化和业务间的实时传输、共享针对业务改善而进行的工作针对业务改善而进行的工作依靠纸张进行的业务处理手工输入作业量的增大发生重复输入依靠Excel表管理各种数据文件的丢失和处理的迟缓输入错误和信息的非法操作数据的不匹配数据保存的极限潜在的风险79ITIL

12、书面化支持工具ERP群件BPM5-4 有助于业务改善的 IT 技术第 5 章 致力于内部控制内部控制的实施，如果能考虑到企业活动整体中各自的职责，把其当作谋求工作现场业务改善的好机会，那么对于企业来说也是确立强势经营基础的天赐良机。反之，业务改善的流程也与实现内部控制所必需的要素密切相关。从这些观点来看，现在，有助于业务改善的各种 IT 技术，也被作为支持内部控制的工具而受到广泛关注。下面我们来介绍其中的一部分。第5章第 5 章 致力于内部控制80业务流程图业务流程图入金入金接收付款通知书接收付款通知书核对订单核对订单委托支付委托支付支付委托书支付委托书接收支付委托接收支付委托支付支付风险控制

13、矩阵风险控制矩阵1.5.11.5.21.5.3 程序 风险 控制 制备状况的评估制度步骤书说明书1书面化支持工具在应对日本版 SOX 法案时，需要进行许多的书面化工作。据说花费在这种书面化工作上的作业大约要占所有必要作业的一半。在业务流程和风险的查明中书面化操作不可缺少。特别是 业务流程图和明确记述了假设风险及其对应的控制活动（control）的 风险控制矩阵，完成这两种书面化操作是必不可少的。当然，作为对象的业务流程越多，书面化的工作量也就越大，全部用手工来完成这些工作的话，需要大量的劳动力。为了能有效率地进行这种工作，需要书面化支持工具来发挥作用。81购买生产销售会计人事、工资整合数据库可

14、视化2ERP每个部门中都有各自不同的系统在运转，在这种环境下，假如要把“物品”卖出时候的“资金”信息反映在会计系统上，不仅需要花费一定的时间，还会发生重复输入这样的劳力浪费。这也是手工作业会引起错误和非法信息操作的原因。ERP（Enterprise Resource Planning）被称为企业资源计划系统，顾名思义，是用来整合销售、库存、生产和会计等基础业务，把跨业务间的“人”、“物”、“资金”等信息进行实时传输、共享的一种系统。通过整合全公司的信息，力求使组织内的业务实现高度的效率化。例如，工作现场输入的信息除了能瞬间反映到财务数据上，还能在财务数据中很容易地找到信息的发生源，这不仅对经营

15、者决策，而且对工作现场的决策也有相当的贡献。此外，通过采用“单点登录”，一次性认证后就可以使用多项的应用程序等，这在安全性方面也存在容易进行管理和应用的优点。这种特性就是 ERP 作为内部控制中的有效系统而受到关注的原因。第5章第 5 章 致力于内部控制82起草人确认者起草起草批准批准批准批准裁决裁决科长OK部长3群件很多企业都利用公司内网络来进行日常的信息共享和交流。而对于群件，也已经普及到了没有必要在这里进行重新说明的程度了。群件，顾名思义，是以团体（组织）为对象的软件，通过有效使用邮件、日程管理、设施预约、告示板、电子会议室和工作流等，在全公司或部门之内、部门之间对必要的信息和存在的问题进行共享，进而能够更有效率地推进业务的进行。可以说这是一种对实现内部控制基本要素之一的“信息和沟通”做出重大贡献的 IT 技术。此外，在实现内部控制时，工作流的确立也是研究课题之一。使复杂的业务步骤自动化，使本来用纸张来申请、批准的业务电子化，这样的工作流系统，在实现工作效率化和无纸化的同时，还是一种提高工作精度、防止错误和非法行为的解决策略。同时还在保存记录和证迹，以及对证明是否进行了正确的申请和批准方面