財務報告にかかわる内部統制の実施基準が確定し，企業が何をすべきかが明らかになってきた。とはいえ，その作業を全社的に実施した場合，相当の手間とコストが懸念される。そのことに頭を悩ませている企業も少なくないはずだ。

「しかし，効果的かつ効率的な対応をすることで，過度の負担を軽減し，経営上も有効な内部統制の評価基盤を構築することは可能です」と丸山氏は述べる。そのためには内部統制の本質を再確認する必要がある。対応を進める企業の中には実施基準の細かな評価項目に捉われすぎるあまり，本質からかけ離れた対応に忙殺されているところもあるという。

制度が求めているのは財務報告にかかわる内部統制である。丸山氏は「現実的な対応を考えた場合，財務報告に関係のないものは極力除外して準備を進めるべき」と主張する。また，監査人によってはリスク軽減のために，IT統制の成熟度を測るフレームワーク「COBIT」への準拠を求めることが考えられる。「必ずしもCOBITに準拠する必要はありません。どこまで評価すべきかがはっきりしないため，参考程度にとどめておくほうがいいでしょう」（丸山氏）。

ただし，IT全般統制については，会計原則に従ったIT業務処理統制を実現したうえで，ITプロセスが期待した通りに機能することが求められる。「そのためには4つの要件を満たす必要があります」と丸山氏は指摘する。1つ目は期待したプログラムのみが実装されること。2つ目はプログラムが期待した通りに実行されること。3つ目はプログラムが改ざんできないこと。4つ目はデータが改ざんできないことだ。

この4つの要件を満たせれば，「システムの開発，変更・保守」「システムの運用・管理」「システムの安全性の確保」「外部委託に関する契約の管理」といったIT全般統制の評価項目に対応可能。「文書化作業などを効率化できるうえ，全社レベルでのIT統制，すなわち，IT全社統制を実現できるでしょう」と丸山氏は強調する。

一方で，IT全般統制の中には注意しなければならない統制目標もある。例えば，財務報告上重要なシステムの変更管理，財務報告の要件を効果的にサポートするアプリケーションの調達と保守，システム・セキュリティの保証，エンドユーザー・コンピューティングの統制などである。

さらに評価手法としては，整備状況の評価，運用状況の評価，有効性の判断という3段階のステップで取り組むべきだ。その際，先のステップを急ぎすぎてはならない。「整備状況が十分でないのに，運用状況の評価を行えば，手戻りが大きくなってしまうからです。評価のステップは慎重に進めるべきです」（丸山氏）。

また，本番時には監査人の監査時間，それに伴う是正の時間も織り込んでおくべきだ。というのも，改善点を指摘された場合，是正する時間がないばかりに不適合となる可能性もあるからだ。

いずれにしても，内部統制は経営上の目標達成を支援するためにあるもの。丸山氏は「細かな評価項目に捉われすぎず，まずは評価の枠組みを構築することを優先的に考え，評価体制の制度作りや運用の徹底を図ることに注力すべきです」とアドバイスした。

[ 画像クリックで拡大 ]

IT全般統制に必要な4つのポイント

会計原則に従った業務プロセスの中で，下記4つのポイントを実現することがIT全般統制の評価の基本だ。これにより，文書化作業を大幅に軽減できる。