2023年04月内部統制報告制度(J-SOX2023改訂版)が15年ぶりに改訂されて内部統制が様変わりし、皆さんの会社では豊富な知識と蓄積された経験をもとに日々内部統制を進化させていることと思います。その豊富な知識と蓄積された経験をいったん振り返って整理し、さらに実践に役立つ戦略・戦術として活かすことを考えてみたいと思います。
今回も、業務プロセスにかかる内部統制(以下「PLC」といいます)の続きです。
【参考となる書籍】
・今から始める・見直す 内部統制の仕組みと実務がわかる本(浅野雅文著・中央経済社)
・情報システム監査実践マニュアル(NPO法人日本システム監査人協会著・森北出版)
PLCとITAC①
前回を含め数回に分けて「PLCのカギは評価範囲の選定」をご紹介しました。評価範囲の選定で今後も大きく注目されるのは、「企業の事業目的に大きく関わる勘定科目」です。余談ですが、アメリカのSOXではリスクが存在する勘定科目・事業拠点はすべて評価の対象となります。ビジネスを展開するうえでリスクが存在しないことはあり得ないので、勘定科目、事業拠点ともに評価範囲外となるものは無いという感じで、そもそもこのアメリカのSOX法制定の経緯(エンロン事件、ワールドコム事件等の粉飾決算事案)を踏まえると、内部統制の評価範囲を決めて限定的に実施すること自体が不合理かもしれません。J-SOXも企業会計審議会でこのことについて数年かけて検討され、2023年04月の改定に至ったのだと理解しています。ですからさきほど「今後も大きく注目されるのは『企業の事業目的に大きく関わる勘定科目』」と述べたのは、いずれJ-SOXでも勘定科目、事業拠点ともに評価範囲という考えが無くなると思ったからです。皆さんの会社でも今のうちに評価範囲外の勘定科目、事業拠点に目を向けて、いつ評価範囲内に入れてもよいような準備をする方が良いかもしれません。
前段でアメリカのSOXや評価範囲について触れたのは、この2つはPLCとITAC(IT業務処理統制)に大きく影響する要素だからです。PLCとITACは相関関係(一方の値が変化するともう一方の値も変化するの意)です。業務プロセスで業務記述・業務フロー(フローチャート)が変更・改定されるとその業務で使用するIT(システム等)の利活用方法、運用・保守管理の内容も変更されます。逆に、ITが変更されれば業務記述・業務フローも変更されます。(※同種のシステムで入替えたとしても、その利活用方法、Outputされるデータ等の変更はあるものと考えております。)ですから、評価範囲及びその選定はPLCとITACの評価のうえで元となるものですので、どのような内容になるかによってPLCとITACに大きく影響します。そのうえJ-SOXが今後も改定されること(アメリカのSOXに近くなるとは言いませんが)を踏まえると、PLCとITACの重要性がさらに増していくかもしれません。このように考えますと、「『最低限』のIPO準備」とか「『最短で』IPOする」ということは、あまりお勧めできないものになります。やはりじっくり腰を据えて準備することをお勧めします。
PLCとITAC②
ITAC・IT業務処理統制については、「財務報告に係る内部統制の評価及び監査に関する実施基準」(以下「実施基準」といいます)53-54ページに次のように示されています。
b.ITに係る業務処理統制 ITに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制である。 ITに係る業務処理統制の具体例としては、以下のような項目が挙げられる。 ・ 入力情報の完全性、正確性、正当性等を確保する統制 ・ 例外処理(エラー)の修正と再処理 ・ マスタ・データの維持管理 ・ システムの利用に関する認証、操作範囲の限定などアクセスの管理 これらの業務処理統制は、手作業により実施することも可能であるが、システムに組み込むことにより、より効率的かつ正確な処理が可能となる。
上の具体例として4点挙げられている項目については、内部統制の評価担当の皆さんでも実際にチェックリスト上で評価した経験が無いかもしれません。なぜかというと、例えば会計システムではそのベンダーから「SOCレポート(報告書)」を入手することで評価を簡略/省略することが多いからです。(※SOCレポートも1, 2, 3やType.1, 2によって評価内容等が違います。ご注意ください。)しかし、ここで誤った理解をしていただきたくないのは、SOCレポートがあることでITACの評価を実施しなくてよいというわけではないことです。本来は評価しなければならない点についてSOCレポートがあることで評価実施の二度手間を省いているだけで、評価担当者はSOCレポートに記載されている内容を十分に把握し、整備/運用評価の際に評価を実施しなくても業務監査(内部監査)等で上の4点の具体例についてテーマ監査等で監査することを忘れずに行ってください。例えば、販売管理、購買管理、会計等をERP(基幹システム)に統合している会社であれば、マスターデータの入力は人(担当者)に依るものですので、この入力元(部門、業務)で入力情報の完全性、正確性、正当性等を確保する統制(業務、チェック体制等)が行われていなければ、いくら高価なERPを導入しても意味がありません。また、よくある例はマスターデータのBackupを定期的に行わず保存していないことがあります。SaaSサービスを利用しているのでマスターデータもCloud上にあるから良いと考えるかもしれませんが、この場合ITACだけでなくBCP(Business Continuity Plan、事業継続計画)の観点からすればそのサービスのベンダーに依存しすぎることはかなり重い事業リスクとなると認識する必要がありますので、十分ご注意ください。
話が少し外れましたが、PLCで本来業務プロセス上の入力情報の完全性、正確性、正当性等を確保する統制について評価すべきところ、その業務はシステム等を利用しているのでそのシステム等はITACで評価することとなる。そのITACもベンダーから入手するSOCレポートによって評価実施の二度手間を省いている。そのため、PLCとITACが相関関係にあるとか、ITACの本来の意味への理解が少し薄まっている傾向にあるかもしれません。
内部統制体制の構築に「難しい」ということはありません。今回ご紹介したように「皆さんの会社のPLCとITACの理解を深める」ことが大切でありコツなのです。前回の記事でも述べましたが、内部統制には「コツ」はあっても「正解」はありません。皆さんの会社のPLCとITACの理解を深めていただき、これを踏まえてPLCの全体像を「会社の全体像」として把握し(「内部統制に向き合う Part.03 - 業務プロセス① -」ご参照ください)、評価範囲の選定については十分な時間をかけて検討(「内部統制に向き合う Part.04 - 業務プロセス② -」、「Part.05 - 業務プロセス③ -」ご参照ください)することをお勧めします。
当社が提供するサービスとして
当社が提供する「内部統制・内部監査体制構築」サービスでは、
IPO準備中企業の内部統制体制の構築とその業務内容の確立をサポート支援いたします。
上場企業の内部統制体制の再構築、業務内容の改善をサポート支援いたします。
IPO準備中・上場企業の内部統制にかかる業務の業務委託受託先(外部)として業務遂行いたします。(*内部統制責任者として、社内に1名選任をお願いします。)
この機会に、ぜひ内部統制のあり方、必要性をご理解いただき、内部統制の体制構築/再構築をご検討ください。
コメント