「日本版SOX法」の実施基準案が求める「ITへの対応」を実現するためには、IT統制を整備する必要がある。これはIT部門の主たる役割だ。加えて、IT統制の評価を支援する必要もある。今回は、実施基準案に基づき、IT統制の整備について解説する。

津田 圭司
KPMGビジネスアシュアランス シニアマネージャー

日経コンピュータ2007年2月19日号の記事を掲載しています。実施基準が正式確定する前の「実施基準案」の情報に基づいていますが、実施基準案と実施基準との間に大きな差異はなく、内部統制に取り組む企業にとって有益な情報であることに変わりありません。

 2008年4月以降に始まる事業年度から適用される金融商品取引法が求める内部統制報告制度。その運用開始に向け、残された時間は限られている。

 「財務報告に係る内部統制の評価及び監査に関する実施基準」の公開草案(以下、実施基準案)は、IT統制の整備において必要な情報をすべて提供しているわけではない。だが、最低限必要な取り組み内容については明確になっている。IT部門はIT統制の整備に向けた道しるべを手に入れたことになる。

 確かに、いまだ明らかになっていない事項はあるものの、まずは可能な範囲でIT統制を整備したい。その後に、日本公認会計士協会などによって今後追加される情報に基づき、随時レベルアップすることが現実的だろう。

IT部門に求められる二つの役割

 実施基準案は、「ITの統制」(以下、IT統制)を次のように定義する。

 「ITを取り入れた情報システムに関する統制であり、自動化された統制を中心とするが、しばしば、手作業による統制が含まれる」

 ここで注意が必要なのは、ITの統制がIT部門の専任事項ではないことだ。内部統制の整備はあくまで企業としてリスクを適切に管理することが主題であり、その手段まで定めていない。IT統制の定義が、「手作業による統制が含まれる」ことを明記するように、IT部門はシステム・オーナーなどと一体になりリスクに取り組む場合もある。

 IT統制整備の実務を通して振り返れば、IT部門の役割は大きく二つある。一つは「ITの統制」を整備することだ。実施基準案の「I.内部統制の基本的枠組み」の15ページ「IT(情報技術)への対応」中に記載されている。

 まず求められるのが、「組織の状況に応じた、適切なITの利用及び統制を図るために、組織を取り巻くIT環境を理解すること」である。その理解に基づき、財務報告の信頼性を確保するためのIT統制を整備する。具体的には、財務報告の信頼性に影響を与えるリスクを十分に低減する統制が施されているかどうかを確認し、必要ならばそれを改善する。この過程で「文書化」の作業が発生する。

 もう一つの役割は、IT統制の評価支援である。評価においては、評価主体が「評価の対象となる業務から独立し、客観性を保つこと(「II.財務報告に係る内部統制の評価及び報告」の11ページ)」が求められる。IT部門が直接的に関与するケースは少ないと言えるが、一般に、企業内においてIT統制を評価できる人材には限りがある。IT部門が何らかの形でIT統制の評価を支援する役割を担うケースが多いはずだ。

 以下では、IT統制を整備するための手順について解説する。

 IT統制を整備するための手順を検討するに当たっては、実施基準案第2部の「III.財務報告に係る内部統制の監査」の「(2)ITを利用した内部統制の評価の検討」(12ページ)に記載されている情報が役に立つ。

 ただし実施基準案は、すでに構築された内部統制の評価と監査について解説しており、直接的にIT統制の整備について触れていない。そのため、実施基準案に加え、その内容から必要と考えられる手順をまとめたのが図1だ。

図1●「ITの統制」を整備するための手順
図1●「ITの統制」を整備するための手順
[画像のクリックで拡大表示]

(1)既存の活動から検討し始める

 全社的な内部統制の一部であるITへの対応は、IT基盤やITシステムのそれぞれに個別に整備するものではない。企業または企業集団を対象に整備する。「II.財務報告に係る内部統制の評価及び報告」の28ページにある「財務報告に係る全社的な内部統制に関する評価項目の例」に、次の5項目が挙げられている(図2の上)。

図2●「ITの計画管理活動におけるITの利用」の構築例
図2●「ITの計画管理活動におけるITの利用」の構築例

●経営者は、ITに関する適切な戦略、計画等を定めているか
●経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか
●経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを軽減するために、手作業及びITを用いた統制の利用範囲について、適切に判断しているか
●ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリスクが考慮されているか
●経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか

 これら5項目はあくまで例とされているが、各企業とも最低限対応することが望ましい。その上で、組織のIT依存度や活用の度合いに応じて、適切な項目を追加する必要がある。

 ITへの対応は特別なことを求めているわけではない。既存のIT計画管理プロセスを元に、ITへの対応の要求事項へ適用すればよい。

 ITへの対応の第1段階としては、既存のIT計画に、図2に示した四つの要素、すなわち(1)ITに関する適切な戦略、計画など、(2)IT環境の適切な理解、(3)手作業及びITを用いた統制の利用範囲の適切な判断、(4)ITを利用することにより生じる新たなリスクの考慮、を盛り込んでいく。

 IT計画の立案においては、明示的ではないにせよ、これらの要素について検討しているはずだ。それに基づいて、経営者の指示を受けたり外部監査人と意見交換したりしながら、本格的なITリスク管理フレームワークの導入に取り組むことが現実的である。

 なお、ITへの対応を含む全社的な内部統制は、原則として連結ベースで行うことが明記されている(「II.財務報告に係る内部統制の評価及び報告」の5ページ)。つまり、「連結対象となる子会社等(組合等を含む)」、「持分法適用となる関連会社」、「在外子会社等」が対象になる可能性がある。

 また、ITへの対応の評価結果は直接的にIT統制に影響を与えるものではないが、全社的な内部統制の評価が良好でない場合は、重要な事業拠点や業務プロセスの選定に影響を与える。例えば、「全社的な内部統制」の評価が良好でなければ、評価対象を拡大しなければならない(「II.財務報告に係る内部統制の評価及び報告」8ページ)。