評価範囲の見直しなどにより「IT全般統制にも影響が出る点に注意が必要だ」とプロティビティの百野マネジャは指摘する。システム部門の日常業務に直接、影響するのがIT全般統制だ。
業務処理統制の評価の対象範囲となっている業務プロセスで利用しているシステムがIT全般統制の対象となる。そのため、業務部門が業務処理統制の有効性評価の範囲を見直した段階で、IT全般統制の対象を見直さざるを得ない可能性がある(図1)。
図1●システム部門のJ-SOX対応に影響を与えそうな事項の例 J-SOX対応全般に影響を与える事項が間接的にシステム部門の対応に影響する可能性が高い。 |
「システム部門の担当者がJ-SOX対応プロジェクトに参加していないと、業務部門の修正が見落としがちになる。するとシステム部門だけ、業務部門とは整合性がとれないシステムを対象としていることがあり得る」とアグリーメントの藤原史人シニアマネージャーは指摘する。
今後発生する可能性が高く、さらにIT全般統制の評価対象の見直しを誘引する事象は2つある。1つは社内業務の変更や見直しだ。
販売専門の商社やコンサルティング会社など、人件費が費用の多くを占める企業は、給与計算プロセスがJ-SOX対応の対象となり、そこで利用している給与システムが対象となる場合がある。社員数が急増している企業などは、これまで給与システムを対象に想定していなくても、新たにIT全般統制の対象に入れなければならない、といったケースが出てくる。
もう1つは、連結対象企業の見直しである。08年3月期の決算を受けて、「急成長の子会社や買収をした企業が突然、売上高を伸ばし評価範囲になる」(プロティビティの百野マネジャ)といったケースだ。J-SOXでは実務向けの指針である「財務報告に係かかる内部統制の評価および監査に関する実施基準」の中で、「連結財務諸表における売上高3分の2を占める企業を評価の範囲に含める」という趣旨の例示がある。
急成長や買収の結果、これまで本社のシステム部門がまったく、システムの開発や運用に関与していなかった子会社のIT全般統制を支援しなければならない。反対にこれまで重要としていた子会社が、売上高の急速な落ち込みにより、対象範囲から外れることもある。
こうしたケースを想定し、システム部門の担当者が社内のJ-SOX対応プロジェクトに参加していない場合などは「早急にプロジェクトに参加して、業務部門の動向をつかむべき」(藤原氏)時期である。
IT部門内の評価者の育成も課題
このほかにも、「新規システムの構築に注意したほうがよい」と日本公認会計士協会でIT統制の担当をする中山清美常務理事は指摘する。システム構築プロジェクトは、計画通り進まない可能性が高い。そのため予定はしていても、稼働後に内部統制が有効に機能しているという証跡を収集できない可能性もある。中山常務理事は、「稼働前から、内部統制を考慮した運用手順などを計画しておくといった準備が欠かせない」とアドバイスする。
ほかの業務プロセスと同様に、こうした作業と並行してシステム部門は、有効性評価やプレ監査時の指摘を受けて、現状の問題点の修正作業を進めなければならない。
加えて、前述の監査法人の監査人不足により「システム部門内で評価担当者を育成する必要も出てくる」と監査法人トーマツの久保代表社員は指摘する。監査法人は自らの監査人が不足していることから、「有効性評価の際に、監査法人の考える手法とある程度合致した方法での評価を求めてくる」というのが一般的な見方だ。そのためには、独自の手法ではなく、監査人のアドバイスを受けながら適切な方法で有効性評価ができる人材を企業内で育成する必要がある。
一般に、有効性評価は社内の内部監査部や経理部、経営企画室などの担当者が実施しているケースが多い。だが、「IT全般統制はシステム部門の担当者が自ら評価しなければならないケースが出てくる」と監査法人トーマツの久保代表社員はみる。「システムには専門的な部分が多く、業務部門の担当者では評価できない」(同)からだ。
J-SOXでは「自部門の評価を実施してもよい」という解釈を採用している。システム部門の担当者が、システム部門が整備・運用しているIT全般統制を評価できる。ただし、実際に統制を運用している担当者が、自分が実施している統制を「有効だ」とは評価できないため、部門内の別の担当者を評価者として教育する必要がある。
システム部門に限らず、J-SOX対応は「文書化して終わりと思っている企業が多い」と嘆くコンサルタント公認会計士は多い。3月期決算の企業にとって、今後9カ月の有効性評価や内部統制監査の実施計画を、いち早く立てることが現在、もっとも重要な作業だろう。
<過去に掲載した内部統制/J-SOX関連特集>
●J-SOX「10の盲点」(全14回)●本番間近!内部統制の最新動向を追う(全5回)
●ITエンジニアの「やってはいけない」内部統制編(全5回)
●ITエンジニアが取り組む内部統制(全5回)
●実践!内部統制
●J-SOX対応の負荷を軽減せよ!(全5回)