「IT統制に対する監査は、現在の財務諸表監査で行われているレベルと変わらない。理屈の上では、現状の延長で対応できるはず」。ベリングポイントは「日本版SOX法」の実施基準案(関連記事)に関する記者説明会を開き、このように指摘した。
金融庁の内部統制部会が11月21日に公表した実施基準案で、関心を呼んだポイントの1つがIT統制への取り組み方だ。経営者が評価すべきことや監査されるポイントを具体的に示した点を評価する声の一方で、ソリューションプロバイダや企業のシステム担当者には懸念も生まれていた。例えば、ITアプリケーション統制に関しては「監査人がシステム設計書などを閲覧することで、会社が意図した会計システムが作成されていることを確認する」とある。これを受けて「監査のために、既存システムに関する文書を新たに作成する」といった手間がどの程度増えるのか、不安視する声が出ていた。
しかしベリングポイントによると、IT統制に関して実施基準案が求めることは、既に上場企業に導入されている基準と同じである。具体的には、日本公認会計士協会のIT委員会が2005年7月に公表した「IT委員会報告3号」だ(正式名称は、「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」)。IT統制について両者を比較すると、「今回の基準案はIT委員会報告3号をベースにしており、範囲や監査レベルも同報告の範囲にとどまっている」(山本浩二ディレクター)という。つまり、現状の財務諸表監査で監査人のお墨付きを得た上場企業は、理屈の上ではIT統制に関して大きな手間は生じない。
ただし、山本ディレクターは、内部統制の評価・監査範囲がそもそも財務諸表より広い「財務報告」になっている点には注意を促した。IT統制に関しても、この違いが従来の範囲からの差分になりうるからだ。例えば、上場企業が提出する有価証券報告書では財務諸表のほかに、「生産、受注及び販売の状況」や「設備投資などの概要」「株式などの状況」などが公表されている。もしそれらの報告に影響を及ぼすITアプリケーションがあれば、それも評価・監査の対象になる。
また現状のIT監査は、「監査人があまり大きな時間を割けないという実態がある」(山本ディレクター)が、内部統制の監査となると企業が従来の監査より踏み込んだ対応を求められる可能性はある。
このほかに、次のような点についても指摘した。(1)経営者が評価結果を記す「内部統制報告書」のひな型が示されていない、(2)米国とは異なり、子会社のほかに関連会社も内部統制の評価対象になる点、である。
(1)のひな型については、実施基準案の上位基準として2005年12月に公表された「基準」(財務報告に係る内部統制の評価及び監査の基準のあり方について)で言及しているのに、今回の実施基準案では該当するパートが丸ごとない。「今後、盛り込まれることを期待したい」(山本ディレクター)が、もし公表されないままだった場合は、内部統制部会長である八田進二青山学院大学大学院教授の著書「これだけは知っておきたい内部統制の考え方と実務」に示されたひな型が活用できるという。また、監査する側の基準だが米国の「AS No.2」の「Appexdix A」、または日本の「監査基準委員会報告書第18号」も報告書を作成するために参考にできるという。
