アクセス管理、変更管理に加え、システム部門にとって欠かせない対応策であるにもかかわらず、50%以上の企業が方針を「まだ決めていない」というのが外部委託先の内部統制の整備・運用状況の確認だ(図1)。会計や販売、購買といったJ-SOX対応の対象となるシステムの運用・保守を外部にアウトソーシングしている場合は、自社と同様に委託先のIT全般統制の整備・運用状況を確認しなければならない。
 |
| 図1●外部委託先の内部統制の整備・運用状況の主な確認方法 半数の企業が外部委託先の内部統制の状況の確認方法を決めていない。 [画像のクリックで拡大表示] |
確認の方法は大きく3つある。1つめは委託先の企業から、委託業務についての監査報告書を受け取る方法だ。
「監査基準18号」や「SAS70」と呼ぶ監査基準にのっとった報告書を受け取るのがもっとも望ましい。監査基準18号はJICPAの、SAS70は米国の基準だ。公式な基準を利用するため、どの監査法人が作成した報告書であっても利用できる。
この方法の問題点は、監査報告書の作成に費用と手間がかかることだ。費用は数千万円、期間は1年以上になる見込みだ。そのため、何の準備もしていない委託先に依頼した場合、09年3月までに報告書を作成するのは難しい。公式な基準ではなく、委託元の独自の監査基準にのっとった報告書を受け取る方法もあるが、「委託先企業の基準が、自社の基準に合致するかを、監査人などに確認する」(JICPAの中山常務理事)といった手間がかかる。
委託先からの報告書を受け取れない場合は、自社の内部監査人と外部監査人が、委託先のデータセンターなどに実際に監査に出向く。その際には、「契約時に『監査を受けるように』という項目を入れておかないと、セキュリティを理由に監査を断られる可能性が高い」(プロティビティジャパンの百野公裕アソシエイト・シニア・マネージャ)ことに注意が必要だ。
監査人による監査を断られた場合は、「委託先の業務の結果を自社で確認するしかない」(JICPAの中山常務理事)。この際は、「リスクが高いアプリケーションやデータベースで、すべての操作が可能になる特権IDを委託先に渡さない」(プロティビティの百野アソシエイト・シニア・マネージャ)といった工夫が欠かせなくなる。
指摘事項を鵜呑みにしない
様々な対応をしても、最後にシステム部門が監査人に対して自社の対応策を明確に説明できなければ意味がない。だが「システム部門の担当者は、監査対応が苦手な場合が多い」とアグリーメントの藤原史人シニアマネージャーは指摘する。監査対応に慣れていないのに加え「システム構築の経験から、J-SOX対応も失敗は許されないと完璧を目指しがち」(同)だからだ。
「監査人は問題を指摘するのが仕事。すべての指摘に対応していたら間に合わない」(プロティビティの百野アソシエイト・シニア・マネージャ)のが実態だ。システムに詳しくない監査人も多く「マニュアル通りの指摘しかできず、各社のシステム化の実態を踏まえないケースもかなり多くなるだろう」(大手監査法人の公認会計士)という。
不合理な監査を円滑に乗り切るために、専門家が勧める方法は2つある。1つは「監査対応に慣れている経理部門の担当者に同席してもらう」(アグリーメントの八木理也シニアマネージャー)ことだ。
2つめは、監査人の指摘を鵜呑みにしないことである。「システム部門側が、自社にとって何が大きなリスクで、それに対してどんな統制を整備・運用しているかを説明できるかがカギ」とコントロール・ソリューションズの河邊シニアITマネージャは話す。同氏は外資系保険会社の内部監査部門で米SOX法(サーベインズ・オクスリー法)404条対応を担当していた。その際に監査人から「ルーターにパスワードを設定しているか」と聞かれたという。「米SOX法対応初年度は、よく分からず監査人の言う通りに対応してしまった。だが今、振り返ればルーターの設定は財務報告には関係ないと主張できる」(同氏)
3月期決算の企業にとって、J-SOX対応に残された期間はほぼ1年しかない。「初年度は100点を目指さずに60点程度を目指すべき。リスクが高い作業や実行可能な部分から優先度を付けて対応していくことが重要」(JICPAの中山常務理事)なのは間違いない。
<過去に掲載した内部統制/J-SOX関連特集>
●J-SOX「10の盲点」(全14回)●本番間近!内部統制の最新動向を追う(全5回)
●ITエンジニアの「やってはいけない」内部統制編(全5回)
●ITエンジニアが取り組む内部統制(全5回)
●実践!内部統制
●J-SOX対応の負荷を軽減せよ!(全5回)
