清水 美欧
After J-SOX研究会 運営委員
NEC システム・サービス事業推進本部 統括マネージャー


 第5回第6回では、日本版SOX法(J-SOX)の運用改善や効率化の具体策を整理し、特にシェアード化については具体例を交えて紹介した。今回は少し視点を変えて、「内部統制評価」業務のアウトソーシングについて検討したい。コスト削減の観点よりも、運用の効率化もしくは実効性の担保といった観点から、この問題を論じる。

 J-SOX対応において、経営者による内部統制評価の一環として要求される「IT統制」の評価(システム監査)は、監査法人による財務諸表監査の一環としてのシステム監査を除けば、これまで十分に実施されてきたとは言えない。企業の内部監査部門にもシステム監査の専門家が少ないため、IT統制の評価の効率と有効性を高めるために、システム監査に長けた専門の外部委託先を利用することは検討に値する。その場合は、委託先の選定基準と委託目的を明確にしたうえで、システム監査の品質評価と監査手法の標準化などの監督機能を、可能な限り自社内に保持すべきである。

システム監査を遂行するためのリソース不足が深刻に

 J-SOX対応初年度(2008年度)において、多くの企業では社内外のリソースを結集したプロジェクトが中心となって、文書化、ウォークスルー、リハーサル、サンプリング・テスト、経営者評価の取りまとめ、といった一連の対応作業を遂行しているはずである。しかし次年度以降は、初年度で確立した評価手法や改善手続きを定常業務として運用していく常設部門がその任にあたるべきだ。その筆頭候補は内部監査部門であろう。

 財団法人 日本情報処理開発協会(JIPDEC)が2006年秋に実施した「システム監査普及状況調査」によると、回答企業417社の約70%ではシステム監査人が不在であり、残る124社の約60%でもシステム監査人が1名ないし2名しかいない状況である(関連記事)。回答企業が抱える内部監査人の数の平均が12.4名と少ないことからしても、システム監査を遂行するためのリソースは相当低いと言わざるを得ない。同調査でも、「システム監査人の不足」は課題認識の筆頭であり、約半数の企業では過去にシステム監査を1回も実施していなかった。
 
 内部監査業務の外部委託、すなわちアウトソーシングの実態はどうだろうか。金融機関を対象とした調査ではあるが、2007年3月に日本銀行 金融機構局が実施した「わが国金融機関の内部監査の現状について」によると、調査対象40団体中26社が「内部監査をアウトソーシングしたことはない」と回答している。

 金融庁が公開しているJ-SOX対応の「実施基準」では、システム監査はIT統制の有効性評価として詳述されており、外部専門家の利用にも言及されている。米国では2007年に改訂されたPCAOB監査基準5号において専門家の活用が肯定的に記載されており、会計監査人の内部統制監査においても、内部監査人の利用とともに、ITなどの専門分野については外部の専門家の参加を推奨している。

 さらにJ-SOXの経営者評価では、IT統制の整備状況と運用状況のそれぞれについて有効性評価を実施する必要がある。整備状況の評価は前半のウォークスルーで、また、運用状況の評価は後半の実査で実施される場合が多い。

 特に後者は、いわゆるテスティング(証憑類のサンプリングによる実調査)となるため、IT統制の実務を理解した少数の評価者(アセッサー)が、評価対象拠点を巡回する「リレー監査」のように実施されている。

 評価対象は、複数の事業所、関連会社、海外現地法人など多拠点となるケースも多く、評価作業が期末に集中することを考慮すると、より多くの要員を見込む必要がある。ITベンダーでもない限り、十分なシステム監査要員を社内で確保できる企業はまれであろう。IT統制の経営者評価、特に運用の有効性評価において、外部のシステム監査の専門家を活用することを積極的に検討する時期に来ている。

 IT統制の監査に専門の外部委託先を起用する意義は、こうした要員不足への対策だけではない。監査品質の確保という点でも大きな意味がある。システム監査が実施されにくかった状況から、わが国では、一部の大手監査法人などを除き、IT統制の監査手法が未成熟で属人的な状況にあるからだ。

 システム監査のフレームワークやキーコントロールの絞り込み、あるいは具体的なテスティング手法を確立している一般企業の内部監査部門はほとんどないのではないかと思える。外部専門家の適切な起用は、IT統制の監査手法と手続きの標準化、および、監査の品質管理の仕組み作りを促進するはずである。