財務諸表の信頼性を確保するには、リスクの洗い出しやコントロールの定義、定期的なテスト・検証などが求められる。ITは業務処理統制の一手段として、財務諸表の信頼性を確保する有力な手段となる。
IBM ビジネスコンサルティング サービス
日本版SOX法では、財務諸表の信頼性が確保されていることを客観的に示す必要があります。財務諸表の信頼性を確かめる観点としての財務アサーションについては「日本版SOX法プロジェクトの進め方」で説明しました。
財務諸表の信頼性を評価する切り口として、この財務アサーションに照らしながらリスクを洗い出し、リスクに対応するコントロールを定義していき、定期的にテスト・検証を実施していくことが、日本版SOX法への対応となります。
財務アサーションについては、日本公認会計士協会監査基準委員会報告書二一号「十分かつ適切な監査証拠」の中に(1)実在性、(2)網羅性、(3)権利と義務の帰属、(4)評価の妥当性、(5)期間配分の妥当性、(6)表示の妥当性――の六項目が挙げられています。
ITは、業務処理統制の一手段として財務諸表の信頼性を確保する有力な手段となります。このため、最終的にはITも財務アサーションの確保を支える位置づけとなる必要があります。
財務アサーションとITコントロール目標
ITと財務アサーションとの関連を考える前に、そもそもITに関してどのような観点でコントロール(統制)を評価すればよいのかについて考えてみます。これについては、日本公認会計士協会IT委員会報告第三号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対監査人の手続について」の中で「情報システムの内部統制は経営者が構築するものであるが、その情報システムを有効なものとするために経営者が設定する目標がITコントロール目標である」と定義されています。また、「ITコントロール目標の達成度(ITを利用した統制活動の有効性)に係る評価結果を、直接的あるいは間接的に経営者の主張と関連づけて理解すること」としております。同報告書の中で、ITに関連する七つのコントロール目標が例示されています(IT委員会報告第三号で記述されている順番とは異なっています)。
このITコントロールは、財務報告書に限定したものでなく、ITシステムが具備すべき要件としての位置づけです。もし、このような評価がなければ、IT業務処理統制について最初からアサーションの関係でコントロールを識別したほうが効率的な場合もあるでしょう。
(1)正確性――情報が正確に記録され、提供されていること
(2)正当性――情報が正規の承認手続きを経たものであること
(3)網羅性――情報が漏れなく、かつ重複なく記録されていること
(4)維持継続性――必要な情報が正確に更新され、かつ継続使用が可能なこと
(5)準拠制――会計原則、会計基準、関連する法律および社内規則などに合致し、処理されていること
(6)機密性――情報が正当な権限者以外に利用されないように保護されていること
(7)可用性――情報が必要とされるときに利用可能であること
このITに関する七つのコントロール目標について、さらに全般統制と業務処理統制という観点から考察をしてみます。
まず、最初に全般統制と業務処理統制を定義しましょう。日本公認会計士協会監査基準委員会報告書第二〇号「統制リスクの評価」の第一二項において、「全般統制とは、ITを利用した情報システムが適切に運用・管理されることにより、複数の業務処理統制が有効に機能することを間接的に確保する統制活動である。全般統制には一般に、ネットワークの運用管理、システム・ソフトウェアの取得および保守、アクセス・コントロールやアプリケーション・システムの取得。開発及び保守に関する統制を含むものを示す」とされています。
業務処理統制についても「個々のアプリケーション・システムにおいて、開始された取引が承認され、漏れなく正確に記録され、処理されることを確保する統制活動である。業務処理統制には、自動照合のようにプログラムに組み込まれた統制活動又は情報システムが作成する例外処理報告書に基づく管理者による査閲等のように人と情報システムが一体になって機能する統制活動がある」と述べられています。
全般統制と業務処理統制の定義に照らし合わせて、七つのITコントロール目標を概観してみましょう。
まず、業務処理統制ですが、個々のアプリケーション・システムにおいて、「開始された取引が承認され、もれなく正確に記録され、処理されることを確保する統制活動」と定義されており、ITコントロール目標の中でいうと、(1)正確性、(2)正当性、(3)網羅性に対応しています。
次に(4)維持継続性は、アプリケーション・システム内のマスターファイルや情報の入力・処理・出力においての情報の整合性という観点では業務処理統制に位置づけられます。しかし、必要な情報の継続使用を可能とするためのアプリケーション・システムを支える運用や保守といった面に着目するのであれば、(7)の可用性とともに全般統制に関連していると解釈することもできます。
また、(5)の準拠性については、個々のアプリケーション・システムに組み込まれている機能(例えば、会計基準にのっとった固定資産の減価償却機能など)ととらえると業務処理統制の範ちゅうになりますが、会計が必ずしも会計システムに閉じた話ではなく、購買システムや販売システムといった会計に関連するシステムを含んだ全体についての開発および保守局面において、準拠性が守られなければならないという観点では、全般統制との関連付けの色が強いといえます。
最後に(6)機密性ですが、全般統制の定義の中でアクセス・コントロールとして例示されています。これは個々のアプリケーション・システムでの対応というよりも、ITシステム全体として取り組む位置づけとして定義されており、全般統制の色合いが強いといえます。
ここまでを理解したうえで、財務アサーションとITコントロール目標との関係を整理してみましょう(図1)。
 |
図1●財務アサーションとIT業務処理統制のコントロール目標 [画像のクリックで拡大表示] |
まず、ITコントロール目標のうち、全般統制との関連が深い(5)準拠制、(6)機密性、(7)可用性については、(1)正確性、(2)正当性、(3)網羅性、(4)維持継続性といった業務処理統制を支える位置づけとなります。このため、個々の財務アサーションへの関連というよりも、業務処理統制を通じて、間接的に財務アサーションに関連付けられます。
また、業務処理統制と関連性の深い(1)正確性、(2)正当性、(3)網羅性、(4)維持継続性については、それぞれが複数の財務アサーションに対応するものと位置づけられています。例えば、正確性を例に挙げると、正確な情報入力が保証されない環境では、財務アサーションの実在性、網羅性、評価の妥当性、期間配分の適正性、表示の妥当性といった項目を保証できないことになり、最終的に財務諸表の信頼性が確保できないことになります。
したがって、財務アサーションとITコントロール目標を直接関係づけることは困難であり、間接的な関係だと考えられます。ITコントロール目標の位置づけについては、実施基準を参考に議論する必要があるといえます。
本連載で業務処理統制を考えていくうえではITコントロール目標のうち、特に(1)正確性、(2)正当性、(3)網羅性、(4)維持継続性の四つを中心に業務処理統制についての議論を進めていきます。
(次回へ)
|
