金融庁は2008年6月24日、「内部統制報告制度に関するQ&A(以下、Q&A)」の追加版を公開した。内部統制報告制度はいわゆる「日本版SOX法(J-SOX)」を指す。システム変更やIT統制の評価範囲、電子メールの保存などに関するQ&Aが新たに追加された。
今回のQ&Aは、金融庁が07年10月2日に公開した第1弾の20問(関連記事)に、新たに47問を加えた文書だ。金融庁は「前回の文書の発表後に寄せられた照会などに対して行った回答例などを整理した」と説明する。
追加したQ&Aのうち、主にITにかかわるのは「問36 期末日直後の大規模なシステム変更」、「問38 IT統制の評価範囲」、「問39 中小規模企業におけるIT環境」、「問46 電子メール等のデータの保存」の4問。
問36 期末日直後の大規模なシステム変更については「内部統制評価は期末日を評価時点としている」とし、「期末日直後にシステムの変更などを予定している場合でも、変更前のシステムの内部統制は評価の対象になる」と説明。変更前のシステムの有効性を期中に評価した場合は、評価時点から重要な変更がないことを確認したうえで、評価結果を利用することで作業を効率化できるとしている。
問38 IT統制の評価範囲については、IT全般統制、IT業務処理統制の両者について「すべての社内システムが対象となるわけではない」と説明。「重要な勘定科目との関連や、システムの機能、利用部門などを整理して対象を考えるべき」と述べている。
問46 電子メール等のデータの保存についてのQは、「内部統制報告制度の導入にともない電子メールなどはすべて保存すべきか、保存期間はどれくらいか」という主旨。実施基準に「不正を共謀する際に電子メールなどを利用することがあるため、こうした活動を防止する統制が必要になることを留意する」といった内容があるので用意された質問だ。
金融庁は「電子メールなどのデータを一律に記録・保存することを求めているものではない」と説明。「有効性評価を実施する際などに作成した記録のみを保存することで足りる」としている。保存期間については、有価証券報告書やその添付書類の縦覧期間である5年を例に出しているが「重要性に応じて適切に判断する」としている。
問39 中小規模企業におけるIT環境では、「販売されているパッケージ・ソフトをそのまま利用している」「システム構成が限定的なため、システムに重要な変更がない」「IT業務処理統制がない」などのケースを想定している。
パッケージ・ソフトをそのまま利用している場合は「IT全般統制に重点を置く必要がある」とし、システムに重要な変更がない場合は「IT全般統制に変更がないことを確認したうえで、IT業務処理統制の評価は、過去の評価を利用できるので毎年実施しなくてもよい」と回答。ITを利用して業務処理統制を整備・運用していない場合でも「手作業による有効性を確認すれば、十分な証拠を得ることは可能」としている。いずれの回答も「実施基準」に沿ったもので新しい解釈ではない。
このほか今回のQ&Aで新たに明らかになったのが、委託業務にかかわる評価方法だ。システムの運用をすべてITベンダーにアウトソーシングし、IT全般統制に該当する作業もITベンダーが実施している場合などが該当する。これまで委託元が委託先に評価に出向かない場合、いわゆる「監査基準18号」に基づいた報告書が必要になるとみられていたが、Q&Aでは「必ず必要になるわけではない」と判断を示した。
残りのQ&Aでは、有効性の評価方法について新たに14問追加しているほか、「重要な欠陥の判断」についても3問追加している。中小規模企業についても5問の追加があった。
