岩谷 誠治
公認会計士、岩谷誠治公認会計士事務所代表

 前回までで、IT部門にとっての内部統制とは何であるかについて説明してきました。最終回となる今回は、IT部門はこれから、どのようなことに注意しながら作業を進めていけばよいのかを見ていきます。

文書化のポイント

 内部統制の整備作業の多くは、文書化にあてられることになります。

 内部統制にかかわる文書は、業務を制度化・標準化するという社内利用における目的のみならず、内部統制監査という社外の第三者への証拠資料にもなるのです。したがって、内部統制監査に耐えうるレベルで作成する必要があります。

図8 文書化の要件
図8 文書化の要件
[画像のクリックで拡大表示]

 それでは、どのような文書を作れば、監査に耐えうるのでしょうか。日本における内部統制監査の「実施基準」は、まだ明らかになっていませんが、米国における内部統制監査の実施基準であるPCAOB(公開会社監視委員会)の監査基準第2号 のパラグラフ42には、文書化への要請事項が挙げられています(図8)。

これらの要請事項に従うと、具体的には次の3つの文書が必要となります。

(1)業務記述書
 個々の業務における作業内容や手順を記述した文書。管理方針や職務分掌なども含まれる。

(2)業務フローチャート
 業務の流れをフローチャートの形式で記述した文書。

(3)リスク・コントロール・マトリックス(RCM)
 業務プロセスのどこにリスクがあり、それをどのようにコントロール(統制)しているのかを記述した文書。

 これは、内部統制において文書化の「3点セット」と呼ばれることもあります。

アサーションとは?

図9 監査要点 と Assertions
図9 監査要点 と Assertions
[画像のクリックで拡大表示]

 こうした文書を説明する記述において、「アサーション」という用語が頻繁に出てきます。このアサーションという概念は、日本人にとってなじみの薄いものです。

 アサーション(assertion)という英単語は本来、「主張」や「断言」といった意味がありますが、内部統制の文脈では一般に「監査要点」と同義で用いられています。

 監査要点とは、財務諸表監査において、監査人が「財務諸表の基礎となる取引や会計事象等の構成要素について立証すべき目標」(「監査基準の改訂について」2002年 企業会計審議会)です。反対に、決算書を作成する側(経営者)からみれば、自らの決算書の適正性を「主張」する中心論点ということです(図9)。

 財務報告にかかわる内部統制の整備は、最終的には、これら監査要点に対するコントロール(統制)が十分か否かがポイントになります。このため、文書化においても、監査要点とコントロールの関係が明らかになるように記述する必要があるのです。

「今、ここにある危機」にどう対処するのか

 内部統制が法制化されたことによって、ITシステムに課せられたハードルは益々高くなったといえるでしょう。その中でも、筆者が最も憂慮しているのは、既存のシステムよりも、むしろ現在開発中のシステムです。

 既存システムが有する内部統制上の不備は、開発時点では考慮できなかったものとして許容せざるを得ないともいえますが、内部統制が法制化された以降、まさに現在開発しているシステムが、稼働直後に内部統制上の不備を指摘されてしまったらどうでしょうか。製品の瑕疵(かし)ともとられかねません。

 そうはいっても、この厄介な内部統制の知識を開発メンバーに教育し直すだけの時間も余裕もないのが現実でしょう。

図10 開発現場における4つの視点
図10 開発現場における4つの視点
[画像のクリックで拡大表示]

 そこで、システム開発の現場において最低限注意すべきポイントを4つに絞り込みました。システムを開発する際には、常に以下の4つの視点を意識してください(図10)。

(1)実在性
 ここでいう「実在性」は、適切な承認を受けたものであるかという正当性や準拠性といった概念も含んでいます。システム開発に携わる方々ならば、通常持ち合わせている「正確なデータ」という感覚でとらえていただいて結構です。

(2)網羅性
 取引の漏れがないかという「網羅性」を確認することは、大変、難しい作業になります。したがって、この網羅性を確保又は確認する手続きは、システム設計時に考慮しておく必要があります。後から対応するのは困難です。

(3)適時性
 「適時性」という概念は、各取引が適切な会計期間に計上されるかという期間帰属の妥当性を意味しています。これは、完全に会計上の議論ですから、システム的な視点だけでは、見落とされてしまうのです。その半面、取引の期間帰属(監査用語では「カット・オフ」といいます)という論点は会計監査や税務調査において、必ず確認されるところですから、十分な注意が必要になります。

(4)分類の妥当性
 最後の「分類の妥当性」というのは、適切な勘定科目が使われるかということです。金額も期間帰属も正しく、適切な承認が行われていても、最後に付される勘定科目が間違っていては、元も子もありません。システム設計時には、各データに付与される勘定科目(および消費税区分など)が、どの時点でどのような手続きで決定されるかを確認し、その信頼度を検討してください。

 この4つの視点は、筆者の経験則から抽出したものであり、内部統制上の論点を網羅したものではありません。

 しかし、内部統制監査が「財務報告に係る内部統制」を対象にしているため、監査要点が重要になることは間違いないでしょう。また、システム開発の対象は期中における継続的・反復的な業務が中心であり、期末時点で行われる評価・見積もりといった業務は、通常、対象から除かれることを考慮すれば、まずはこの4つの視点に注力することによって、致命的な見落としを避けることができると考えます。

◇        ◇        ◇

 第1回の冒頭で述べたことの繰り返しになりますが,内部統制が法制化されたからといって、いたずらに恐れる必要はありません。内部統制の整備において、IT部門に求められる要件のほとんどは、従来からのシステム開発でも考慮されてきたものだからです。

 とはいっても、既存のシステムが内部統制の要件をすべて満たしているという企業は多くはないでしょう。そのため「財務報告」や「監査」という新たな視点からシステムを見直し、不備を一つずつ改善していかなければなりません。

 それらを受身にとらえるのではなく、システムの品質向上の一環として前向きに取り組んでいきましょう。本連載がIT部門の今後の取り組みのご参考になれば幸いです。

岩谷 誠治(いわたに せいじ)
公認会計士、システム監査技術者。早稲田大学理工学部卒。化学品メーカーで社内SEとして勤めた後、公認会計士に。監査法人、外資系コンサルティングファームを経て、2001年に独立。現在は、企業組織再編、企業買収、システム監査などの業務に従事。内部統制に関する多数のセミナーで講師を務める(詳細は、こちら)。著書に「超図解 フローチャートでわかる新人SEのための会計&業務の基礎知識」(エクスメディア)や「ビジネスプロセスと会計の接点」(中央経済社)などがある。事務所のURLは、http://www.iwatani-c.com/