「IT全般統制への対応では、いま問題が発生してないから大丈夫という意識を捨てることが重要。将来にわたっても問題が発生する可能性がかなり低いことを証明しなければならない」。
こう語るのは、KPMGビジネスアシュアランスの山田茂 執行役員ディレクター(写真)である。山田執行役員は、8月23日と24日に東京・有楽町で開催されている「内部統制ソリューション展」で、「財務報告に関わるIT全般統制の概要」と題した講演を行った。
山田執行役員は、米国SOX法対応を実施した日本企業や米国企業の日本法人などの対応プロジェクトを支援してきた実績を持つ。講演では米国SOX法404条にかかわる対応経験を基にした、IT全般統制で求められるポイントや対策の実例などを紹介した。
同氏はIT全般統制の条件として、「必要な機能が適切に組み込まれている」「正確に処理を繰り返せる」「処理結果を不正に変更できない」と自信を持って言えること、を挙げる。ただし、「これが簡単なようで難しい」(山田執行役員)。問題が発生していないことを証明するだけでなく、問題が起きない、問題を起こせない、ことを証明しなければならないからだ。
特に統制上の不備として指摘されることが多いのが、業務部門がシステム開発・保守にきちんと参加しているかどうかというポイント。システム部門だけでなくシステム・オーナーである業務部門が,要件定義やテスト結果の承認に適切に関与している必要がある。「実際にはシステム部門だけで検収を行い、業務部門は使うだけという企業が多く、統制上の不備を指摘されていた。業務部門が参加していても、それを証明するものが残っていない場合もあった」と語る。
明文化された内部統制の手順があったとしても、それが守られていることを証明できなくて、不備とされる場合もある。具体的には、「業務を進める上で、承認の記録を取っておく手順が策定されていた企業で、承認の記録がないのに次の業務に進んでいたケースがあった」(山田執行役員)という。たとえ、承認を得ていたとしても、その記録を提示できなければ意味がない。
特に、悩ましい問題として挙げたのは、システム業務を外部に委託している場合の対応だ。当然、「外部委託先も評価対象となるため、外部委託先の協力が必要」(山田執行役員)。アウトソーシング事業者だけでなく、ASP(アプリケーション・サービス・プロバイダ)事業者も評価対象になる可能性がある。ASP事業者が業務処理統制やIT全般統制を証明してくれない場合は、ユーザー企業の統制が不備と判断されるため、山田執行役員は早めの対策検討を勧めた。
