日本版SOX法が求める「ITの統制」の整備は、主にIT部門の役割だ。そのIT統制は、評価を受けなければ整備されたとは言えない。評価者は、評価の対象業務から独立し、客観性を保つことが求められる。IT部門自らがIT統制の評価することはないが、そのプロセスを知っておく必要がある。

外山 了至
KPMGビジネスアシュアランス マネージャー

日経コンピュータ2007年3月5日号の記事を掲載しています。実施基準が正式確定する前の「実施基準案」の情報に基づいていますが、実施基準案と実施基準との間に大きな差異はなく、内部統制に取り組む企業にとって有益な情報であることに変わりありません。

 ITの統制に関する文書化・評価プロセスを表したのが図1だ。「財務報告に係る内部統制の評価および監査に関する実施基準」の公開草案(以下、実施基準案()は、全社統制の評価が完了した後に、業務プロセスを評価することを想定している。

図1●ITの統制の文書化・評価プロセス
図1●ITの統制の文書化・評価プロセス

 しかし、この順序通りに進めると、2008年4月からの本番年度までに文書化・評価が完了しない可能性がある。本番年度には、財務諸表監査の監査人による内部統制監査が行われることを勘案すれば、暫定的にでも対象を特定し、できるだけ早期に全社統制(ITへの対応)、IT全般統制、IT業務処理統制の文書化・評価に着手し、その対応過程で対象を見直しながら、07年度中に作業を完了させることが望ましい。

 評価に対し実施基準案は、「経営者を補助して評価を実施する部署及び機関並びにその要員は、評価の対象となる業務から独立し、客観性を保つことが求められる」とする。IT全般統制をIT部門自らが評価し、それをもって完結してはならないということだ。

 そのため評価には、内部監査部門や通常業務からは独立したプロジェクトが当たる必要がある。ただし、IT部門による自己点検の結果は、内部監査部門などによる独立したモニタリングを適切に実施することを前提に、IT統制の評価に利用することが認められる(実施基準案第二部11ページ)。

 また実施基準案は、財務報告に係る内部統制の評価作業の一部を、社外の専門家を利用して実施することを認めている。すでに社外コンサルタントを導入済み、あるいは導入を検討している場合は、専門家による作業結果を評価の証拠として利用するかどうかを含め、評価の最終責任を経営者が負うことに留意しなければならない。

整備状況と運用状況を評価

 内部統制の評価は、整備状況と運用状況の二段階に分けて実施する。

 整備状況の評価は、内部統制が財務報告の虚偽表示を防止または発見できるように、適切に設計されているかどうかを評価するものだ。実施基準案は、「関連文書の閲覧、従業員等への質問、観察等を通じて」行うとする。

 例えば、IT全般統制であれば、「システム変更手順を、システム変更依頼書の起票から、承認、変更の実施、変更結果の確認までの一連の流れに沿って検証・評価する」。IT業務処理統制であれば、「取引の開始から業務システムへの入力、承認、処理、会計システムへの反映までの一連の作業を、流れに沿って検証・評価する」と考えればよいだろう。こうした作業は、文書化フェーズで作成する「リスクと統制の対応」(リスク・コントロール・マトリックス、 RCM)と「業務の流れ図」などに基づいて実施する。

 運用状況の評価は、内部統制が設計どおりに運用されているかを評価するものである。ここでも、文書化フェーズで作成したRCMを使用する。RCMには、個々の統制の内容が記載されているので、評価の方法(テスト手続き)を対にして記載すれば利便性が高まる。

IT統制の評価方法

 IT全般統制について、Cobit for SOXなどを参考に全社共通のRCMを作成する場合、テスト手続きも評価項目ごとに標準的な方法を例示できる。表1は、IT全般統制のRCMにテスト手続きを併記したものだ。さらにこの右側に、実際のテスト結果を記載する欄を設けることもできる。

表1●IT全般統制におけるテスト手続きの表記例
表1●IT全般統制におけるテスト手続きの表記例
[画像のクリックで拡大表示]

 IT業務処理統制についてもRCMを使用する。ただし、IT全般統制と異なり、様々な業務プロセスを評価対象とする業務処理統制では、RCMをあらかじめ標準化して作成することは難しく、検証すべきポイントのもれやずれが生じる可能性があることに注意しなければならない。連載第2回で説明した実施基準案のIT業務処理統制における四つの統制、評価の例について、表2のような標準的なテスト手続きを示しておくとよい。

表2●四つの統制における標準的なテスト手続きの例
表2●四つの統制における標準的なテスト手続きの例
[画像のクリックで拡大表示]

 加えて、文書化の段階で統制ごとにテストの観点を明確にしておくべきである。表3は、IT業務処理統制のRCMにテスト手続きを併記したものだ。ここでは、四つの統制のうちどの観点で評価すべきかの区分(「統制の種類」)を追加している。該当する統制、評価のパターンを事前に明らかにし、参考となるテスト手続きを用意しておけば、テスト手続きの作成が少しでも容易になるし、確認ポイントのもれやずれを排除することができる。

表3●IT業務処理統制におけるテスト手続きの表記例
表3●IT業務処理統制におけるテスト手続きの表記例
[画像のクリックで拡大表示]

評価の頻度

 評価は、原則として毎期実施する必要がある。ただし、実施基準案は、次の例外を示している。

 「自動化された内部統制が、前年度に、不備が発見されずに有効に運用されていると評価された場合、その後内部統制が変更されていないこと、不具合が発生していないこと、および関連する全般統制の評価結果が有効であることを条件として、前年度に実施した内部統制の評価結果を継続して利用することができる」(実施基準案第二部21ページ)。

 要するに、2年目は評価を省略できるということだ。ただその場合には、実務的に図2の例を検討する必要があり、慎重な判断が必要である。

図2●前年度の評価結果を継続利用する場合の検討ポイント
図2●前年度の評価結果を継続利用する場合の検討ポイント

 実施基準案は、業務プロセスの評価範囲について、必要に応じ外部監査人と協議を行うことが適切だとする。だが、自動化された内部統制の評価を省略する場合も、外部監査人が万一適切でないと判断した場合には、時間的な制約から評価の実施が困難となる可能性がある。外部監査人とはあらかじめ意見交換しておくことが望ましい。

サンプリング

 サンプリングは、評価の際に検証対象として採取する標本(サンプル)に関する考え方である。実施基準案は、外部監査人がサンプリングを用いる場合の例示として、「日常反復継続する取引について、統計上の正規分布を前提として、90%の信頼度を得るには、統制上の要点ごとに少なくとも25件のサンプルが必要になる」としている(実施基準案第三部11ページ)。

 これは人手による統制を想定したものだ。だが、IT業務処理統制については、「ITを利用した内部統制は一貫した処理を反復継続するため、その整備状況が有効であると評価された場合には、IT全般統制の有効性を前提に、人手による内部統制よりも、例えばサンプル数を減らし、サンプルの対象期間を短くするなど、運用状況の評価作業を減らすことができる」とする(実施基準案第二部53ページ)。

 米国版SOXでは、全般統制が有効であることを前提として、業務処理統制の運用評価テストにおいては、全体の処理件数のうち90%などの大半を占める主要なケースごとに1件のサンプルを抽出すればよいとされている。ただし、仕様書などから業務処理統制を十分に理解・把握した上で主要なケースを特定する必要がある。この対応が難しい場合は、主要なケースについて、前述の人手による統制と同様の考え方で、サンプルを抽出しテストする必要があるだろう。