セキュリティ対策コラム　－内部統制の構築とその評価について－日本版SOX法を読む（実施基準より）その2

ITへの対応に関しては、①IT環境への対応と、②ITの利用及び統制について説明しています。実施基準では、ITへの対応について具体的にイメージアップできるように、いくつかの例を示していますが、実際には各企業の実情に合わせた形で効果的に実施することが必要です。従って、例示されたものだけに対応すればよいわけではなく、過不足を見極めた検討が基本となります。

（1）IT環境への対応

組織を取り巻くIT環境を理解して、ITの利用及びIT自身の統制について適切に対応していくことが求められ、「IT環境」として組織が認識、考慮すべき項目が例示されています。

＜組織が考慮すべきITに係わる項目例＞

• ①社会および市場におけるITの浸透度
• ②組織が行う取引等におけるITの利用状況
• ③組織が選択的に依拠している一連の情報システムの状況（情報システムに依拠しているかどうか、依拠している場合にどのような情報システムに依拠しているか）
• ④ITを利用した情報システムの安定度
• ⑤外部委託の状況

（2）ITの利用及び統制

＜ITの利用＞

ITを利用して、内部統制の他の基本的要素をより有効に機能させ、効率的な内部統制の構築を可能とすることを期待して、内部統制の基本的要素ごとにITの利用イメージを例示しています

①統制環境の有効性を確保するためのIT利用

経営者の意向、組織の基本的方針等を適時に伝えるために電子メールを利用する。一方でメールを利用した不正についても留意する必要がある。

②リスクの評価と対応の有効性を確保するためのITの利用

組織内外の事象を認識する手段として、またリスク機能を共有する手段としてITを利用することにより、リスクの評価と対応をより有効かつ効率的に機能させる。

③統制活動の有効性を確保するためのITの利用

業務プロセスにITを利用した検証機能を組み込むことにより、統制活動を自動化することができる。例えば生産管理システムに棚卸しの検証プログラムを組み込む等により、瞬時に帳簿在庫と実在庫を把握して問題点の発見に役立てることができる。当然自動化により人間の不注意や誤り等の防止が可能になります。一方で、プログラムの不正や改ざん 、誤りへの対応についての留意も必要です。

④情報と伝達の有効性を確保するためのITの利用

ITの利用により、組織内部での情報伝達の手段を効果的に業務プロセスに組み込むことも可能になります。例えば、必要な承認や作業完了が一定期間に実施されないと、その旨が担当者の上司に伝達される機能など、業務管理に必要な情報の伝達を、業務プロセスに組み込むこともできます。

⑤モニタリングの有効性を確保するためのITの利用

日常の業務活動を管理するシステムに組み込み自動化することで、より効果的に実施することが可能になります。

（3）ITの統制

ITを取り入れた情報システム自身に対する統制であり、自動化された統制が中心になります。

＜組織目標を達成するためのITの統制目標＞

ITの統制を有効なものとするために、経営者が設定する目標をITの統制目標と呼び、以下に例示します。

1. 有効性、効率性：情報が業務に対して効果的、効率的に提供されていること
2. 準拠性：情報が関連する法令や会計基準、社内規則等に合致して処理されていること
3. 信頼性：情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること
4. 可用性：情報が必要とされるときに利用可能であること
5. 機密性：情報が正当な権限を有する者以外に利用されないように保護されていること

金融商品取引法（日本版SOX法）による内部統制報告制度においては、IT統制についても、「財務報告の信頼性」を確保するために整備するものであり、財務報告の信頼性以外の他の目的を達成するためのITの統制の整備及び運用を直接的に求めるものではないとして、SOX対応への過度の負荷がかからない配慮をしています。

全社共通的な統制である「全般統制」と全般統制下で業務プロセス毎の統制である「業務処理統制」の2つのレベルからなり、完全かつ正確な情報の処理を確保するためには、両者が一体となって機能することが重要になるとしています。

＜ITに係わる全般統制＞

業務処理統制が有効に機能する環境を保証するため、複数の業務処理統制に関係する方針と手続きを指します。　以下のような具体例が挙げられています。

• ITの開発・保守に関する管理
• システムの運用管理
• 内外からのアクセス管理などシステムの安全性の確保
• 外部委託に関する契約の管理

＜ITに係わる業務統制＞

業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために、業務プロセスに組み込まれたITに係わる内部統制です。以下のような具体例が挙げられています。

• 入力情報の完全性、正確性、正当性等を確保する統制
• 例外処理（エラー）の修正と再処理
• マスタ･データの維持管理
• システムの利用に関する認証、操作範囲の限定などアクセスの管理

ITシステムによって作成される財務情報の信頼性を確保するための内部統制を評価する必要がある。

（1）評価範囲の決定

a．業務プロセスとシステムの範囲

どの範囲までを評価するかについては、業務プロセスにおける取引の発生から集計、記録といった会計処理の過程をどの業務プロセスが、またどのシステムとの関連があるかをデータの流れを含めて確認して評価範囲を決定します。

b．IT基盤の把握

ITに関与する組織の構成、ITに関する規定、手順書等、ハードウエアの構成、基本ソフトウエアの構成、ネットワークの構成、外部委託の状況などの把握が考えられます。

（2）評価単位の識別

ITに係わる全般統制は、IT基盤の把握の基に評価単位を識別し、評価を行う。 例えば自社開発の販売、購買、物流のシステムについては、システム部が管理し、会計システムについては、経理部が市販のパッケージ・ソフトウエアを導入・管理している場合、統制の具体的なやり方が異なることが考えられますので、評価単位を「システム部」と「経理部」の2つとして識別するとしています。 一方、ITに係わる業務処理統制の評価は、基本的には個々のシステムごとに行う必要があるとしています。

（3）ITを利用した内部統制の整備状況及び運用状況の有効性の評価

IT統制の構築で、業務処理統制が有効に機能する環境を保証するために示された方針と手続きが評価のポイントになります。

＜ITに係わる全般統制の評価＞

• ITの開発・保守に関する管理
• システムの運用管理
• 内外からのアクセス管理などシステムの安全性の確保
• 外部委託に関する契約の管理

＜ITに係わる業務処理の評価＞

• 入力情報の完全性、正確性、正当性等を確保する統制
• 例外処理（エラー）の修正と再処理
• マスタ･データの維持管理
• システムの利用に関する認証、操作範囲の限定などアクセスの管理

＜過年度の評価結果を利用できる場合＞

ITで自動化した内部統制整備は、変更やエラーがない場合、一貫して機能するとして、過去の評価結果を継続して利用できるとしています。 但し、内部統制上の不備や障害、変更等がなく、有効に継続して運用されていることが条件になります。

システム部門では、監査人による監査の観点をみておくことが重要です。ITに係わる全般統制については、新たにシステム、ソフトウエアを開発、調達又は変更する場合、承認及び導入前の試験が適切に行われているかを確認する等、10項目について監査のポイントを例示しています。

また、業務処理統制についても監査人は、システム設計書等を閲覧することにより、企業の意図した会計処理が行われるシステムが作成されていることを確認する等、5項目について監査のポイントを例示しています。