内部統制報告書を作成するのはそう簡単でない。まず情報システム部門を含む現場が文書を作成し、それを集約する流れとなる。
不備の修正と並行して実施しなければならないのが、内部統制報告書を作成するための文書を用意することだ。2008年までニューヨーク証券取引所に上場していたため米SOX法に対応してきた経験を持つNISグループ。同社の平哲博システム企画部長が「米SOX法対応の最後の3カ月間は文書の作成に注力していた」と証言するように、この工数は予想以上に多い。
内部統制報告書は最終的に、経営者が自社の内部統制の有効性を確認して作成するものである。しかし、連結グループ企業の数が多かったり、海外に散らばっていたりすると経営者だけで全体の評価結果を確認することは難しい。グループ企業が少なくても、複数の事業を抱えJ-SOX対象プロセスが多い企業では、やはり困難だろう。
そうした企業では、販売や購買、ITといった現場の業務プロセス評価担当者が自分の担当範囲における“報告書”を作成。それらを集約して経営者に渡し、企業全体における内部統制運用状況の有効性を評価してもらうのが一般的だ。
経営者の評価結果が正しいかを監査人が監査する際、経営者が作成した内部統制報告書だけではなく、現場の担当者が作成した文書も確認する。現場の作成する文書から、内部統制報告書は始まっている(図1)。
ITでも財務報告に結びつける
IT全般統制にかかわる評価結果の文書は、IT全般統制の評価担当者が作成することになる。各プロセスの評価結果を記述する文書の量はあまり多くない。「A3判の紙で3、4枚程度だった」とNISグループの平部長は説明する。記述する内容は、テスト結果、テストした際に発見した不備の修正計画、最終的に内部統制が有効と判断できるかの判断結果、などだ。
量的には多くないのに作成に時間がかかる理由は二つある。一つは「単なる不備の内容の記述では済まない」(NRIの堤グループマネージャー)こと。J-SOX対応は「財務報告に誤りがない」と保証することを求めている制度。IT全般統制であっても、「財務報告にかかわる形で評価結果を書く必要がある」(同)。
IT全般統制に不備があった場合は、「影響の連鎖を想像しながらでないと財務報告に結びつけることは難しい」と堤グループマネージャーは話す。システムの変更管理を正しく実施しているか確認できていない→販売システムに誤った処理や不正な処理が紛れ込んでいる可能性がある→売上高の計上が間違っている可能性がある―といった具合だ。
