岩谷 誠治
公認会計士、岩谷誠治公認会計士事務所代表

 前回は、日本版SOX法がITに対して、何を求めているのかについてお話ししました。ここで、もう一度、IT部門との関係から、内部統制について整理してみましょう。

図4 内部統制の基本的要素
図4 内部統制の基本的要素
[画像のクリックで拡大表示]
図5 ITによる2つの統制
図5 ITによる2つの統制
[画像のクリックで拡大表示]

 まず、金融庁の企業会計審議会内部統制部会が2005年12月に公開した「財務報告に係る内部統制の評価及び監査の基準案」(以下、基準案)において、「ITへの対応」は内部統制の基本的要素の一つとされています(図4)。

 そもそも、この「基本的要素」という概念がよくわからないという声をよく聞きます。

 内部統制という形のないものを議論するためには、それを構成する要素に分解していかないと実態がつかめません。例えば、 空気という気体は窒素、酸素、二酸化炭素といった構成要素から成り、構成要素に分解することによって、燃焼や光合成という事象を理解できるのと同じことです。

 空気と内部統制の違いは、内部統制における基本的要素は、すべてが現存しているとは限らないという点です。内部統制における基本的要素は、いずれも欠くことのできないものですから、漏れがあったり、不十分な部分については補い、整備しなければ内部統制を有効に機能させることができません。

ITに関する統制は2種類

 一般にITによる内部統制は、(1)情報システムの開発・運用全般に対する統制である「IT全般統制」、(2)個々のアプリケーション・システムにおいて行われる統制である「IT業務処理統制」---の2種類に分類されます(図5)。

 同様な用語として、「全社的な内部統制」と「業務プロセスに係る内部統制」という分類があります。全社的な内部統制とは「連結ベースでの財務報告全体に重要な影響を及ぼす内部統制」(基準案 II.3.(1))であり、業務プロセスに係る内部統制とは、「業務プロセスに組み込まれ一体となって遂行される内部統制」(基準案 II.3.(1))を指します。

図6 4つの統制の関係
図6 4つの統制の関係
[画像のクリックで拡大表示]

 これら4つの統制の関係を図示してみると図6のように表現することができます。

 IT化が進んだ現代においては、「業務プロセスに係る内部統制」の多くの部分を「IT業務処理統制」が担っており、両者は密接不可分な状態にあります。一方、「全社的な内部統制」が、各種の内部統制に対して間接的に影響を与えるのに対して、IT全般統制とIT業務処理統制の関係は、もっと直接的な関係になります。信頼できるIT全般統制が確保できなければ、その上に業務処理統制を構築することはできません。したがって、IT部門に携わる皆さんが、まず整備すべきは、このIT全般統制ということになります。

内部統制の整備

 では、実際にIT部門の方々が担うべきことは何なのでしょうか。

 金融商品取引法では、経営者は、自社の内部統制の整備状況を評価した内部統制報告書を作成し、外部の監査人である公認会計士(または監査法人)が、その報告書の適正性について監査を実施することになっています。

 内部統制報告書は、「財務報告に係る内部統制」の有効性を評価して報告するものです。「財務報告に係る内部統制」が有効であるとは、内部統制に「重要な欠陥」がないことを意味します。

 ここで、2つのポイントを理解しておく必要があります。

ポイント1:「財務報告に係る」部分はどこか

 金融商品取引法においては、財務諸表の信頼性担保という目的から、内部統制報告書の対象範囲を「財務報告に係る」部分に限定しています。したがって、まず、業務のどの部分が財務報告に影響を与えるのかを理解しておくことが前提になります。具体的には、ビジネス・プロセスと会計の接点を把握し、その部分について重点的に対策を講じることが効率的です。

ポイント2:「重要な欠陥」とは何か

 「重要な欠陥」とはどのようなものでしょうか。基準案においては、「財務報告に重要な影響を及ぼす可能性が高い内部統制の不備をいう」(基準案II.1.(4) )と定義されています。

図7 重要な欠陥(財務報告に重要な影響を及ぼす可能性が高い内部統制の不備)の事例
図7 重要な欠陥(財務報告に重要な影響を及ぼす可能性が高い内部統制の不備)の事例
[画像のクリックで拡大表示]

 日本においては、まだ実施基準が公表されていませんが、米国における内部統制監査の基準であるPCAOB(公開会社監視委員会)の監査基準第2号のパラグラフ140において「重要な欠陥が存在すると考えられる事例」が掲げられています(図7)。

 ただし、内部統制の範囲および水準は、経営者が独自に設定するものです。財務報告にかかわる部分に限定されるわけではありませんし、重要な欠陥がなければよいというものでもありません。

 対症療法的に内部統制を整備するというアプローチでは、全社的な内部統制整備という点からは非効率になる恐れもある点に注意してください。

 最終回となる次回は、IT部門の方々が統制活動に取り組む際に留意すべきポイントを見ていきます。

次回へ

岩谷 誠治(いわたに せいじ)
公認会計士、システム監査技術者。早稲田大学理工学部卒。化学品メーカーで社内SEとして勤めた後、公認会計士に。監査法人、外資系コンサルティングファームを経て、2001年に独立。現在は、企業組織再編、企業買収、システム監査などの業務に従事。内部統制に関する多数のセミナーで講師を務める(詳細は、こちら)。著書に「超図解 フローチャートでわかる新人SEのための会計&業務の基礎知識」(エクスメディア)や「ビジネスプロセスと会計の接点」(中央経済社)などがある。事務所のURLは、http://www.iwatani-c.com/