「内部統制監査が始まると、毎年の期末の約3カ月間はシステムを凍結する必要がある」。トーマツ企業リスク研究所の久保惠一所長は、「金融商品取引法」が上場企業に課す内部統制の報告制度、いわゆる日本版SOX法(J-SOX)の導入に伴って、基幹業務システムなどの変更にいくつかの制約が加わることを指摘した。日経ソリューションビジネス主催のセミナー「監査人が指摘する『内部統制』の勘所」の講演で語ったもの。
例えば3月決算企業の場合、毎年1月~3月末(もしくは期末90日間)は監査対象になるシステムに変更を加えず、監査を受ける必要がある。この期間に大きなシステム変更があると、関係する業務プロセスの文書化や経営者評価、外部監査を一気にやり直さなければならない。現実には監査や報告書作成が間に合わなくなるリスクが高いからだ。
3カ月や90日というシステムの凍結期間は、「米SOX法の実務で、大手監査法人が用いている『みなし期末』がベース」(久保所長)になっているという。内部統制監査は、毎年期末(3月決算企業なら3月31日)の状況を検証すればよいが、現実には1日での監査は不可能。そこで実務上はある一定期間にわたって、対象となる事業部門や子会社を順番に監査する。この期間が「みなし期末」である。
同じくセミナーで講演した公認会計士、システム監査技術者の清水惠子氏は、「ロールフォワード」と呼ぶシステム監査手法を紹介した。第2~第3四半期などにシステム監査をおおむね済ませておき、期末近くでユーザー企業にヒアリングをしてシステム変更がなければ、さかのぼって実施した監査内容を有効とみなす方法である。その場合もロールフォワードの実施後にシステムを変更したら、監査をやり直す必要がある。システム変更時期の配慮は必要という。
このような監査上の問題を避ける手段として、久保氏は「3月までは新システムのテスト運用期間に充てて、新システムの本番稼働を4月以降にすればよい」と語った。また、変更時期を配慮すべきシステムは、内部統制の評価対象になっているものに限られるという。つまり、財務報告に関係しないシステムや、評価範囲から外れる事業部門・子会社のシステムは制約を受けない。J-SOXでは内部統制の評価範囲を最大で「売上高の3分の2」まで絞り込める。ITサービス企業にとっては、「監査人とユーザー企業が、内部統制の評価範囲をどのように取り決めたか」を知ることが、システム更新商談を制する上で重要になりそうだ。
なお久保所長は、J-SOX対応の初年度、つまり2008年度に入ってからの基幹業務システムの大きな刷新は極めてリスクが高いとも指摘した。2008年度初めに稼働するシステムならば2007年度の開発段階から文書化を進めておくこと、稼働時期は外部監査人とよく打ち合わせた上で決めることなどが重要になると言う。
