2008年度は、J-SOX対応初年度としてのPDCAが大詰めの段階になり、統括部署では「内部統制報告書」作成準備に、また、情報システム部門では2009年度の二巡目に向けた準備をされていることと思います。
しかし、2007年度に実施した整備とそれに基づく運用であるPDCAの一巡目でCPAから指摘を受けた事項に対応するあまり、ディテールに捕らわれがちになっていないでしょうか。言い換えるなら、IT統制において「厳密過ぎる体制整備」をしていないか、或いは、「厳密過ぎる体制整備」をしようとしていないでしょうか。二巡目のPDCAに入る前に、今一度IT統制の原点を整理しておくのも有益かと思います。
内部統制を整備する目的は「財務報告の信頼性を確保すること」です。その目的を達成するために、情報システム部門が、業務処理に密接に組み込まれた情報システムにおける統制リスクを明確にし、リスクの軽減、排除を図ることがIT統制です。
「財務報告の信頼性確保」に欠かせないのが会計監査とされています。2001年の米国エンロン社の粉飾決算において、米国監査法人のアーサー・アンダーセンが粉飾を見逃したことを契機に、企業の内部統制を監査するための法律である企業改革法(サーベイス・オクスリー法=SOX法)が2002年に制定されました。これにより、CPA(監査人)は従来の財務諸表の整合性チェックだけではなく、そもそも財務諸表作成に至る段階で不正やミスが起きないようにするための、企業の内部統制の整備まで監査するようになりました。
わが国でも、2004年の西武鉄道の有価証券虚偽記載事件や2005年のカネボウ粉飾決算事件を受けて『内部統制報告制度(J-SOX法)』が制定されました。これにより企業は従来の財務報告に加え、CPAによる監査証明を得た「内部統制報告書」を作成し、開示することとなりました。
重要なのは、内部統制が整備されていることを証明するのはCPAではなく、企業自らだということです。
企業は「財務報告の信頼性を損なう」リスクを認識し、その大きさをを判定する「リスク判定力」を備え、そのリスクをコントロールしていることを証明しなければなりません。
CPAは、財務報告の信頼性が損なわれる原因となる「ミス」や「不正」が起こらない仕組みが業務プロセスに組み込まれていること(=内部統制)を評価します。
また、業務を正しく行うための環境整備が企業全体の中で行われているかどうか(=全社的な内部統制)の確認も行います。これはルールやシステムが整備されていても運用環境がルーズでは機能しないからです。経営理念、人材の確保・育成・評価、リスク管理体制などが確認事項となります。
情報システム部門は、以上の“企業全体として整備すべき内部統制”に対して、情報システムがかかわる部分について統制を整備します。いわゆる「IT統制」の整備です。
IT統制は「IT全社統制」と「IT業務処理統制」、「IT全般統制」の三つに区分されます。これらについては既に理解されていると思いますので詳細説明は省略しますが、少しだけ整理しておきましょう。
◆IT全社統制
・情報システム戦略、計画の策定
・情報システム部門の役割と責任
・情報システム部門の業務の方針、手続き
など、財務報告全体の有効性に重要な影響を及ぼす統制が含まれます。
◆IT業務処理統制
・データ作成・入力システムにおけるチェック、制限
・複数のシステム間での自動連携処理
・会計システムにデータを接続計上する月次バッチ処理
などに対する統制が該当します。
◆IT全般統制
多くの情報システム部門の方がこの統制評価で頭を悩ませることになったのではないかと思います。
・システム開発、変更時のプロセス
・システムへのアクセスに関する統制
・特権ID付与の制限、アクティビティ管理
などが含まれ、IT業務処理統制が有効に機能する環境を保証するための統制です。
IT統制で実施しなければならないことは多々あります。CPAからは思いのほか多くの指摘を受けたりもします。
しかし、「IT全社統制」以外のIT統制で不備が認められたとしても、必ずしも内部統制報告書に重要な欠陥があるという記載にはなりません。欠陥がある旨の記載を恐れる余り、指摘事項全てに完璧に対応しなければならないと誤解すると、厳格過ぎる統制になってしまいかねないので、注意しなければなりません。
IT業務処理統制に不備があっても、業務部門の業務プロセスに代わりになる統制があれば重要な欠陥にはならず、指摘された年度は乗り切ることができます。
不備が個々の勘定科目に与える金額的なインパクトを把握することが大切です。インパクトが小さいと判断できれば内部統制の重要な欠陥にはならないのです。
重要なのは、情報システムに限定した範囲での判断をしないで、内部統制全体における統制の相互関係を理解しておくことです。
全ての部門の統制を統括する役割を担う部門(企画部や管理部)がある場合は、その部門のマネジャーにIT統制評価に加わってもらうようにします。
また、そのような統括部署がなくても、情報システム部門は日常的に他の部門それぞれとコミュニケーションが最も密にとれている部門ですので、IT統制の整備を担う情報システム部門が視野を大きくし、経理力を高め、リスク判定力を持っていれば、全体の調整役としての機能を果たすことが可能となり、内部統制の評価で悩むことはなくなるはずです。
最も悪いのは、統括部署が『情報システムは特種だから』と業務処理統制とIT統制を別物扱いし、IT統制に関わろうとしないことです。
