内部監査に向き合う Part.19 -情報システム④-
- 6月22日
- 読了時間: 6分
内部監査は会社・従業員にとってとても大切な働き・役割です。その働き・役割を遂行するためには、知識と経験と心構えが大切だと思います。それらをいったん振り返って整理し、さらに実践に役立つ戦略・戦術として活かすことを皆さんと一緒に考えてみたいと思います。
今回は情報システム④です。
情報システムを監査するポイントを考える③
前回の記事「内部監査に向き合う Part.18 -情報システム③-」でご紹介した「情報システムを監査する目的を振り返る②」のおさらいになってしまいますが、改めて情報システムを監査する目的を通して監査するポイントを見てみます。
J-SOXが求めているのは、ITへの対応(①IT環境への対応、②ITの利用及び統制)です。会社(J-SOXでは「組織」)の目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適時かつ適切に対応することを求めています(「財務報告に係る内部統制の評価及び監査の基準」14-15ページをご参照ください)。そして注意書きも記されています。
(注) 財務報告の信頼性に関しては、ITを度外視しては考えることのできない今日の企業環境を前提に、財務報告プロセスに重要な影響を及ぼすIT環境への対応及び財務報告プロセス自体に組み込まれたITの利用及び統制を適切に考慮し、財務報告の信頼性を担保するために必要な内部統制の基本的要素を整備することが必要になる。例えば、統制活動について見ると、企業内全体にわたる情報処理システムが財務報告に係るデータを適切に収集し処理するプロセスとなっていることを確保すること、あるいは、各業務領域において利用されるコンピュータ等のデータが適切に収集、処理され、財務報告に反映されるプロセスとなっていることを確保すること等が挙げられる。
(出典「財務報告に係る内部統制の評価及び監査の基準」15ページ)
よくある例として、会社の業務において利用している情報システム全部とシステム構成図を入手することなく、IT統制は会計システムのみを評価範囲にしているケースです。上の注意書きにもありますように「企業内全体にわたる情報処理システムが財務報告に係るデータを適切に収集し処理するプロセスとなっていることを確保すること」とありますので、J-SOXでは必ずしも会計システムだけを評価範囲にしていません。また「各業務領域において利用されるコンピュータ等のデータが適切に収集、処理され、財務報告に反映されるプロセスとなっていることを確保すること」とありますので、会計システムで集計・処理される数値(売上高等)を各業務領域において適切に収集・処理している情報システムも評価範囲に入ることを示しています。いまでは多く会社で販売管理システム、顧客関係管理システム(CRM)、基幹システム(ERP)が利用されていますので評価範囲の選定の際に苦労することはあまり無いと思いますが、各業務ごとに個別の情報システムを利用していたり、個別の情報システム間でデータ連携する際に手作業/手入力を行っていたり、またそのデータ自体に加工を行っている場合は要注意です。
少々細かいポイントまで深掘りしましたが、そもそも「なぜJ-SOXにIT統制があるのか?」といえば、会社の業務全体で情報システム・ITの利用が不可欠であることから、会社の情報システム・ITの利用環境と利用状況及びその統制活動への監査(評価)も不可欠であるためとなります。
情報システムを監査するポイントを考える④
情報システムを監査する目的がわかると、監査するポイントもだいぶハッキリみえてきます。ただ、会社の情報システム・ITの利用環境と利用状況及びその統制活動に関する情報を収集しようとしたときに大変なご苦労をされた方がいらっしゃると思います。ISMS(ISO/IEC 27001)認証を取得している会社の皆さんでしたら比較的容易なことなのですが、特にこれからIPOをお考えの会社又はいまIPO準備期の会社の皆さんは少々大変な思いをするかもしれません。ISMSではルール(要求事項)として会社のシステム構成図と業務利用している情報システム・ITをリストアップして管理しているからです。だからと言ってここで皆さんにISMS認証の取得をお勧めするわけではありませんので、ご安心ください。お勧めするのは、経済産業省「システム管理基準」です。このシステム管理基準には細かい内容が示されていませんので、あわせて特定非営利活動法人 日本システム監査人協会(SAAJ)が策定したシステム監査・管理ガイドラインを参照することをお勧めします。この2つを理解することで、皆さんの会社の業種、業態、規模に合ったかたちの情報システム・IT管理ができます。逆に言えば、「情報システム・IT管理は、こうしなさい」とか具体的に「情報システム・IT管理は、こうあるべき」というものはなく、皆さんの会社それぞれで効率的・効果的な情報システム・IT管理を構築できるのです。
また、情報システム・IT管理にこれが正解とか完璧というものもありません。なぜなら、情報システム・ITの技術は日々進化しており、それに合わせて脅威等リスクも増えているからです。情報システム・ITの技術の進化のおかげで、社内にいなくても自宅等で業務が行えるようになりましたが、その反面業務の情報システム・IT技術への依存度が増大したために通信手段や利用する従業員のITリテラシー等のリスクも増大する時代になりました。こうして考えてみても、情報システムを監査するポイントはとても多いのです。私たち内部監査はすべてをJ-SOXで評価(監査)するのではなく、業務監査を並行して実施することで会社の情報システム・ITの利用環境と利用状況及びその統制活動が適正に行われていることを証明(アシュアランス・保証)する必要があると考えます。
「情報システムを監査する」というテーマで皆さんにご紹介していますが、とても奥が深いなぁと感じています。皆さんはいかがでしょうか。次回も引き続きこのテーマで、皆さんと一緒に考えてみたいと思います。
当社が提供するサービスとして
当社が提供する「内部統制・内部監査体制構築」サービスでは、
IPO準備中企業の内部統制体制の構築とその業務内容の確立をサポート支援いたします。
上場企業の内部統制体制の再構築、業務内容の改善をサポート支援いたします。
IPO準備中・上場企業の内部統制にかかる業務の業務委託受託先(外部)として業務遂行いたします。(*内部統制責任者として、社内に1名選任をお願いします。)
この機会に、ぜひ内部統制のあり方、必要性をご理解いただき、内部統制の体制構築/再構築をご検討ください。
Comments