金融庁は10月2日、「内部統制報告制度の関するQ&A(Q&A集)」を公開した。全部で14ページの文書で、20問のQ&Aを掲載している。

 IT統制や情報システムにかかわるQ&Aは4問。ここでいう内部統制報告制度とは、いわゆる日本版SOX法(J-SOX)を指す。Q&A集は、日本版SOX法の実務上の指針(ガイドライン)である「財務報告にかかわる内部統制の評価および監査に関する実施基準(実施基準)」を補完する文書である。

 システムにかかわる4問のうち、1問は「期末日前のシステム変更」についての考え方を示したものだ。残りの3問はIT統制の考え方の見解を挙げている。

 システム変更について、Q&A集では「期末前3カ月間はシステムを凍結するなど、内部統制の変更を行ってはならないとの議論があるが、どのように考えるべきか」との問いを設置。これに対しては「システムの改善を行うのは企業の判断であり、システムの変更を行うべきでないと監査人が結論づけることは適切でない」との趣旨の回答を示した。その上で、期末日直前に大規模なシステム変更を実行した場合の、内部統制の有効性の評価の方法についての考え方を示している。

 IT統制についての3問は、IT全般統制におけるIT基盤の管理方法、ITと手作業の統制の関係、IT全般統制の不備について、を挙げている。いずれも実施基準の内容を改めて解説したもの、新たな解釈はない。

 このほかにQ&A集では、内部統制の不備の判断基準、内部統制の有効性の評価方法(経営者評価)、評価範囲の設定、財務諸表監査との関係、経営者評価の監査方法、などについて見解を述べている。今回のQ&A集は、金融庁がこれまで「実施基準について質問が多かった項目を補う目的で作成する」といってきた文書である。

 Q&A集と同時に金融庁は「内部統制府令ガイドライン」も公表した。8月に公開した「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令」の指針である(関連記事)。内部統制の評価範囲や方法、監査、内部統制報告書の様式について3ページで補足している。内部統制の評価範囲についての補足では、業務委託をしている場合の委託先について、改めて「評価範囲に含める」とした。