top of page
執筆者の写真長嶋 邦英

内部統制に向き合う Part.01 - IT統制 -

更新日:2024年12月21日

 2023年04月内部統制報告制度(J-SOX2023改訂版)が15年ぶりに改訂されて内部統制が様変わりし、皆さんの会社では豊富な知識と蓄積された経験をもとに日々内部統制を進化させていることと思います。その豊富な知識と蓄積された経験をいったん振り返って整理し、さらに実践に役立つ戦略・戦術として活かすことを考えてみたいと思います。

 今回は、IT統制です。内部統制に向き合うなら、まずはIT統制です。









IT統制は会社の要


 2023改訂版「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(企業会計審議会・金融庁)(*以下「J-SOX2023改訂版」といいます)の変更点は多岐にわたります。注目されている点としては内部統制の基本的枠組み、評価の範囲等がありますが、その中で「ITを利用した内部統制の評価」について留意すべき点が各所に記載されていることにお気付きの方がたくさんいらっしゃると思います。そもそも内部統制の6つ基本的要素の中に「ITへの対応」が挙げられこれが重要だとわかっていても、「IT統制=情報セキュリティ」のイメージが強く、またITと財務報告の関係性を書籍等が少ないこともあり、あまり理解が深まっていないかもしれません。そこで今回の記事では、そのIT統制について考えてみたいと思った次第です。


 【参考書籍・資料のご紹介】

  1. IT統制監査実践マニュアル(NPO日本システム監査人協会編・森北出版)

  2. 今から始める・見直す 内部統制の仕組みと実務がわかる本(浅野雅文著・中央経済社)

  3. システム監査基準・システム管理基準(経済産業省・2023(令和5)年04月26日改訂)

 *ただし、今回の記事はこれら参考書籍・資料に忠実に沿った内容ではありません。   ご了承ください。



 IT統制は、とても大切な統制です。

 全社統制(CLC)、決算・財務報告プロセス(FCRP)、業務プロセス(PLC)のどれも大切なのですが、会社の内部統制体制の構築でまずはIT統制をしっかりさせることから始めるという意味でとても大切です。IT統制をしっかりさせることは、会社全般に影響します。例えば、IT統制をしっかりさせるには予算計画が必要です。また会社がどのように成長し向かっていく方向(成長戦略)にもIT統制が伴いますので、事業計画全般に影響します。社内の業務においても皆さんは当然PCを使用しますし、それに伴って会社は社内ネットワーク環境・セキュリティ環境を整備する必要があります(ここでも予算計画が必要です)。それに業務の有効性及び効率性を考慮して多くのシステム・アプリケーション(以下総じて「システム」と言います)を利用しますので、ここでもIT統制をしっかりさせる必要があります。つまり、会社が事業を行ううえでどの場面においてもITの利用は必須ですから、IT統制をしっかりさせる必要があり、これによって内部統制の4つの目的のうち3つ「業務の有効性及び効率性」、「報告の信頼性」、「資産の保全」が担保されると言っても言い過ぎではないと考えます。まさに「会社の要(最も大切な部分、要点)」と言えます。



IT統制・評価のタイミング

 もうひとつ。内部統制監査(整備/運用評価)のスケジュール的なタイミングのお話ですが、皆さんはいつ頃実施しますか?他のプロセスと比べて評価しにくいとか、情報システム部門が業務多忙で証憑提出を依頼しにくいなどの理由で、遅くなりがちではありませんか?評価実施のタイミングとして私が最もお勧めする時期は、他のプロセスよりも前のタイミング。真っ先にITGC、ITACの評価を実施することをお勧めします。


 順番としては、まずITGC・・・その前に、IT環境の全体を把握するための調書(IT環境概要調書)の作成から始めます。これは内部統制の各プロセスにおいて評価範囲の選定を行う際に必要となる資料です。IPO準備期の会社の皆さんにとってはおなじみの資料で、監査法人のIT監査担当の先生からこのIT環境概要調書の提出を求められ、少々ご苦労があったかと思います。この資料は、IPO準備期の会社だから必要であるというわけではありません。社内のシステム環境、システム利用状況等が少しでも変わっているのであればこの資料の作成は必要です。それに会社は成長することを目指しているので、この成長に合わせて社内のシステム環境、システム利用状況等も変化しているハズです。例えば、主要システムに連携しているサービスの入替等変更やユーザー数の増減がありませんか?IT環境概要調書の記載事項について少しでも変わっているのであれば、この調書を改めて作成する必要があります。また、会計システムは財務報告に直結するITシステムだから評価の範囲内だが、財務報告に直結しないシステムは評価の範囲外・・・というわけではありません。例えば、CRMサービスを利用して販売管理を行なっている場合、そのCRMサービス内で見積書・契約書類等の稟議を行なっている場合はITGCとITACの評価の範囲内であるとするケースが多いです。ここはIPO準備期にお世話になる監査法人のIT監査担当の先生の判断が分かれるところかと思います。ここで何を言いたいかというと、内部統制監査の基礎となる評価範囲の選定に先立ってIT環境概要調書の作成から始めることが重要で、この調書が無ければ評価範囲の選定を行うことができず、内部統制監査自体が始められないということです。また、システムの利用状況はもしかすると現場部門でしかわからないことがあります。内部統制監査中にシステム環境、システム利用状況等の変化が発覚したら、一からやり直しとなります。ですから、まずはIT環境概要調書の作成からはじめることをお勧めします。 さらに、いざ内部統制監査を行うときも、まずはITGC、ITACから始めることが大切です。これは内部統制関連の書籍にも書かれていると思いますが、内部統制監査の順番は①ITGC・ITAC→②PLC→③FCRP→④CLCとなります(*会社の会計スケジュール等によっては③と④が逆になる場合も考えられます)。この順番の理由は、先のIT環境概要調書に基づき会社のシステム環境・システム利用状況等を把握したうえでITGC・ITACを実施することで業務上利用するシステムを評価しますが、PLCの評価はこの業務上利用するシステムの評価結果を基礎として評価を実施する項目が多いからです。PLCのRCMで「システム/IT統制(コントロール)」としている統制項目がそれにあたります。すると、PLCはITGC・ITACの評価を実施しなければPLCの評価に着手することができないことがわかります。



 会社で仕事をするうえで、PC、システム・アプリケーション、ネットワーク環境等の利用は不可欠です。不可欠だからこそJ-SOXの6つの基本的要素に「ITへの対応」がありますし、COSOの「Internal Control - Integrated Framework- 」にも「Control Activites (統制活動)」でIT全般統制の選択と整備を項目に挙げています(引用7ページ:The organization selects and develops general control activities over technology to support the achievement of objectives.)。日本、アメリカどちらの市場に上場するにしても必ずIT統制の整備と運用は重要となりますので、時間と手間を掛けてIT統制を準備することをお勧めします。

 次回もIT統制について、皆さんと一緒に考えてみたいと思います。





当社が提供するサービスとして


当社が提供する「内部統制・内部監査体制構築」サービスでは、


  1. IPO準備中企業の内部統制体制の構築とその業務内容の確立をサポート支援いたします。

  2. 上場企業の内部統制体制の再構築、業務内容の改善をサポート支援いたします。

  3. IPO準備中・上場企業の内部統制にかかる業務の業務委託受託先(外部)として業務遂行いたします。(*内部統制責任者として、社内に1名選任をお願いします。)


 この機会に、ぜひ内部統制のあり方、必要性をご理解いただき、内部統制の体制構築/再構築をご検討ください。



最新記事

すべて表示

Comentários


Os comentários foram desativados.
bottom of page