 |
日本版SOX法対応の準備が整ったら、いよいよ本格的に財務報告にかかる内部統制の整備に取りかかる。同法の適用年度が始まる08年4月までに必要な内部統制を整備し、監査を受けても「問題がない」状態にしておくのが理想だ。
そのためには今年4月から1年間の作業を、「ムダなく、ムリせず」の方針で効率よく進める必要がある。(1)広く普及しているガイドラインを活用する、(2)対策を「現状のプラスアルファ」で考える、(3)「監査人の視点」と「対応に要する時間」を常に意識する、の三つがポイントだ。
3種類のIT統制をおさらいする
この段階でシステム部門がかかわって整備すべきIT関連の統制は、大きく3種類ある。これらの違いを理解することは、日本版SOX法対応の基本。ポイントを説明する前におさらいしておこう。
一つ目はIT全般統制である。会計や販売といった財務報告に関係するシステムが、きちんと動作することを保証するために整備する統制を指す。「開発担当者と運用担当者を分ける」や「システムの変更記録を取得する仕組みを作る」などが典型的な例だ。システム部門は、自分たちの仕事のやり方、あるいは体制を見直すことで、これらの統制を整備する必要がある。
二つ目はIT業務処理統制だ。不正アクセスや誤ったデータの混入といったリスクを防ぐために、会計関連業務のシステムに組み込まれた統制をいう。「アプリケーションへのアクセス管理」「エラー・チェック」といった機能で実現する。統制を整備する際に中心となるのは経理や営業などの業務部門で、システム部門はその活動を支援する役割を果たす。
もう一つは、IT全社的統制である。「連結グループで、システムをどのように位置付け、管理しているか」といった全社的なIT戦略にかかわる統制をいう。実施基準では「経営者がシステムに関する適切な戦略や計画を定めている」「システムの利用により生じる新たなリスクを考慮している」などをIT全社的統制の例としている。この場合は、CIO(最高情報責任者)など経営層が中心となり、システム部門が協力する形で統制を整備する。
【1】ガイドラインを活用する : 鵜呑みは禁物、複数を使い分ける
どのIT統制に対応する場合でも効果的なのは、日本版SOX法対応のガイドラインを活用することだ。実施基準はその代表例である。ほかに、経済産業省の「システム管理基準 追補版(財務報告にかかるIT統制ガイダンス、以下追補版)」や、米ITガバナンス協会などの「IT Control Objectives for Sarbanes-Oxley(COBIT for SOX)2nd Edition」など、主なもので8種類が入手できる(図5、表1)。
|
|
| 図5●日本版SOX法に対応する際に、システム部門の参考になるガイドライン |
|
|
| 表1●日本版SOX法への対応で参考になる主なガイドライン [画像のクリックで拡大表示] |
ガイドラインは、「どんな作業が必要か」「何に留意すべきか」など、内部統制の整備を進める際の概要やヒントを説明している。システム部門はこれらを使うことで、作業を大きく効率化できる。広く使われているガイドラインを参考にしていることを監査人に説明すれば、「監査人の心証も良くなる」と、ベリングポイントの新井マネージングディレクターは話す。実際に内部統制の整備が始まる07年5月頃までに、ガイドラインを選びたい。
追補版とCOBIT for SOXを推薦
では、システム部門はどのガイドラインを選べばよいのか。コンサルタントや公認会計士が勧めるのは、追補版とCOBIT for SOX 2nd Editionである。どちらも内部統制の考え方の説明、IT全般統制やIT業務統制の整備方法、整備すべき項目などを100ページ以上費やして説明している。
経産省が1月に公開した追補版(2月中旬時点では公開草案)は、まさに日本版SOX法を念頭において書かれたものだ。ITに詳しかったり、実施基準の作成に携わった公認会計士が作成に協力しており、システム部門にとってガイドラインの“本命”といえそうだ。経産省が作ったとはいえ、実施基準との整合性を保つよう配慮されている。
もう一つのCOBIT for SOX 2nd Editionは、米SOX法対応企業のシステム部門の多くが参考にしたガイドライン。「業務処理統制が手動の場合と自動化されている場合の工数の比較」「米SOX法対応企業の2年間の経験から学んだ教訓と今後の対応」といった、米SOX法対応企業の経験を反映させている。
IT統制に関して、米SOX法と日本版SOX法で対策はほぼ共通しているので、日本版SOX法に対応する企業にも役立ちそうだ。メインを追補版にして、COBIT for SOX 2nd Editionを必要に応じて参照する、というのが現実的だろう。
これらのガイドラインを利用する際に大切なのは、「書かれている項目すべてを実行しようと考えないことだ」と、日本大学の堀江教授は強調する。「ガイドラインは様々な業種・業態の企業が活用できるよう、内容が網羅的になっている。すべてを整備したら、間違いなく対策は過剰になる」(同)。
システム部門はこれを防ぐために、ガイドラインから自社に必要と思われるIT統制を選び、その結果を監査人と協議した上で、最終的にどの統制を使うかを決めていく必要がある。
【2】対策は「現状プラスアルファ」で : 新規のシステム投資は原則不要
日本版SOX法への対応を1年でひと通り完了させるには、ガイドラインを選ぶ作業と並行して、内部統制の整備に取り掛からなければならない。
その際に、基幹システムを入れ替える、業務プロセスをガラリと変えるといった大がかりな変更は避けたい。1年では間に合わない可能性が高くなるからだ。できる限り現状の業務は変えずに、最低限、必要な部分を追加・修正するのがセオリーである。
3点セットで現状を分析
システム部門がまず手掛けるべきなのは、業務分析だ。新日本監査法人の中山清美代表社員は、「財務諸表監査の一環としてシステム監査を受けている場合、監査人にその結果を聞くことから始めてほしい」と提案する。財務諸表監査は、日本版SOX法への対応と同様、財務報告作成プロセスの視点で進めるからだ。
それ以外の企業は、「文書化を通じて現状を把握し、内部統制に過不足があるかを自己評価するのが基本」と、ガートナー ジャパンの松原榮一ガートナー リサーチ バイス プレジデントは話す。文書化では、(1)業務の流れを示す「業務フロー図」、(2)業務ごとに詳細な作業内容を記述した「業務記述書」、(3)業務上のリスクと、それに対する統制(コントロール)を記述した「RCM(リスク・コントロール・マトリックス)」という、いわゆる「3点セット」を作成する。
中でも重要なのは、(3)のRCM。これを見て、現状の業務でどんな統制が足りないかを調べ、必要な統制を追加していく。書き方はガイドラインを参照すればよい。実施基準が3点セットの書き方を示しているほか、追補版ではIT関連のRCMの詳細例を掲載している。監査法人が用意した書式例を利用できる場合もある。
文書化の際は、「保守性を考えて、シンプルに記述することが大切」と、アビームコンサルティングの永井プリンシパルは話す。例えば、販売の業務フロー図を書く場合、販売管理システムを一つのシステムとして書くこともできるし、「伝票管理サーバー」「顧客マスター」などと分けて書くことも可能だ。
ただ、保守性を考えると「システムの詳細は業務フロー図とは別に説明するなどして、一つのシステムとして書くべきだ。そうしないと、例えばマスターへのアクセス手順が変わったときに、すべてを書き直す必要が生じてしまう」(同)。監査人と話し合って、自社に合うやり方で文書化を進めるのが望ましい。
新規IT投資も原則として不要
システムに関しても、「日本版SOX法対応の1年目に、新たに入れ替える必要はない」と、コンサルタントや公認会計士は、口をそろえる。
内部統制を整備する上で、現状のシステムに何か問題が見つかったら、そのときに初めて代替手段を考えればよい。例えば、「手作業で代替し、証拠文書のプリントアウトを残して置くのでも問題はない」(KPMG BAの小見門マネージングディレクター)。
では、監査人から「20年前に構築した会計システムが、今後も動作することを保証できるか」と聞かれた場合は、どうすればよいだろうか。当然、このシステムには、きちんとした設計書や変更履歴が残っていない。かといって「『今まで何の問題もなく動いていたから、これからも大丈夫だ』という論理は通じない」(みすず監査法人の嶋守パートナー)。
この場合に、ERPパッケージ(統合業務パッケージ)でシステムを刷新するといった解決策を安易に採らないことが肝要だ。ここでも、監査人と積極的に話し合う姿勢が必要になる。「監査人は、『20年前からのテスト結果を出せ』などと無理な要求はしない。システムが行う処理の流れなどを文書化して、統制が有効であることを証明する方法をシステム部門が考える。その上で、そのやり方でよいかどうかを監査人と協議するのが効率的だ」と新日本監査法人の中山代表社員はアドバイスする。
