修正すべき不備の中には、情報システムにかかわるものも多い。とはいえ、必ずしも新たにシステムを導入・改変しなくてもよい。
システム対応が必須ではない
修正する不備が決まれば、次は修正計画を立案する。そのポイントとしてコントロール・ソリューションズ・インターナショナルの河邊精一シニアITマネージャーが挙げるのは、「システムにかかわる不備であっても、新たなアプリケーションの導入やシステムの改修が必ずしも必要ではない」という点である。
同氏は前職の外資系企業で米SOX法(サーベインズ・オクスリー法)への対応を担当した。その経験から「システムにかかわる統制でも、文書で記録を残したり、記録を目視で確認したりすることで代替できる」と言い切る。実際、システムにかかわる不備があっても、3カ月では改修が間に合わないケースは少なくない。その場合は手作業で代替するか、次年度以降の修正計画に盛り込む。
例えば「アクセス管理に不備がある」と指摘された場合。シングルサインオンソフトのようなアクセス管理ソフトを導入する方が望ましいが、時間がかかる。
実は「監査人が求めているのは、システムへのアクセスが職務分掌に基づいて適切に管理できているか」(富士通総研の小村事業部長)だ。ならば、職務に基づいたアクセス管理の規定を文書で定めてある、システムへのアクセスが規定通りに行われていたかを後で確認するフローを実施している―ことを証明できれば、統制は有効と判断できる(図1)。
スプレッドシートにかかわる統制も同様だ。監査人に指摘されたからといって、すべてのスプレッドシートに対して同程度の統制を整備・運用するのは現実的でない。
まずは、実際に財務報告の作成に利用しているスプレッドシートをすべて把握する。それと並行して、財務報告の作成に利用するスプレッドシートの扱い方に関する規定を整備する。マクロ変更への対策も忘れてはいけない。「入力者自身がマクロを操作できないようにパスワードを設定する」などが必要だ。その上で「変更の際は、上長の承認印を得るなど文書で変更履歴をとる」ことで統制を有効にできる。
