この連載では、IPOを目指すJ-SOX導入プロジェクトを担当される方々が、具体的にどのようなアクションをとればよいかを説明します。
IPOを目指す際に、最も苦労する作業といわれるJ-SOX導入。「J-SOX導入プロジェクト」を担当される実務家の方が「何をすれば良いのか」、「どのように進めれば良いのか」といった具体的なイメージを描けるよう、実際のゴールとなる「成果物」、「具体的なアクション」に焦点を当てて話を進めたいと思います。

はじめに

JSOX(内部統制報告制度)は、社内に存在する内部統制が適切に整備、運用されているかについて年間を通じて検証する作業です。会社の内部統制には検証作業を通じて不備が検出される場合もあります。複数回にわたり、JSOX(内部統制報告制度)において、内部統制に含まれる「不備」が「どのように検出されるか」を記載します。

前回は内部統制の「不備」に、「全社的な内部統制の不備」と「業務プロセスの内部統制の不備」があることを記載しました。JSOX導入プロジェクトの進行時は「業務プロセスの内部統制の不備」が論点となることが多いと言えますが、「全社的な内部統制」は内部統制の土台の位置づけとなりますので、適切な「全社的な内部統制」の構築はとても大切です。

今回は、「全社的な内部統制」と「業務プロセスの内部統制」に続き、ITに関連した統制について記載したいと思います。ITに関連した統制が「財務報告に係る内部統制の評価及び監査の基準」(以下、「内部統制基準」という。)において、どのように整理、記載されているか、ITに関連する統制の不備をどのように考えるべきかについて確認したいと思います。

IT統制とは

 ITの統制とは、ITを取り入れた情報システムに関する統制であり、自動化された統制を中心としますが、手作業による統制も含まれます。

 ITの統制を有効なものとするために経営者が設定する目標を、ITの統制目標と呼びます。ITの統制目標としては、例えば、次のものが挙げられます。

  • a. 有効性及び効率性:情報が業務に対して効果的、効率的に提供されていること
  • b. 準拠性:情報が関連する法令や会計基準、社内規則等に合致して処理されていること
  • c. 信頼性:情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること(正当性、完全性、正確性)
  • d. 可用性:情報が必要とされるときに利用可能であること
  • e. 機密性:情報が正当な権限を有する者以外に利用されないように保護されていること

 財務報告の信頼性を確保するためのITの統制は、会計上の取引記録の正当性、完全性及び正確性を確保するために実施されます。それぞれの定義は以下となります。

  • ・正当性とは、取引が組織の意思・意図にそって承認され、行われること
  • ・完全性とは、記録した取引に漏れ、重複がないこと
  • ・正確性とは、発生した取引が財務や科目分類などの主要なデータ項目に正しく記録されること

 金融商品取引法による内部統制報告制度においては、ITの統制についても、財務報告の信頼性を確保するために整備するものであり、財務報告の信頼性以外の他の目的を達成するためのITの統制の整備及び運用を直接的に求めるものではありません。