この連載では、IPOを目指すJ-SOX導入プロジェクトを担当される方々が、具体的にどのようなアクションをとればよいかを説明します。
IPOを目指す際に、最も苦労する作業といわれるJ-SOX導入。「J-SOX導入プロジェクト」を担当される実務家の方が「何をすれば良いのか」、「どのように進めれば良いのか」といった具体的なイメージを描けるよう、実際のゴールとなる「成果物」、「具体的なアクション」に焦点を当てて話を進めたいと思います。
はじめに
事業活動においてITの重要性は日に日に増しています。JSOX(内部統制報告制度)においても、ITへの対応は内部統制の「6つの基本的要素」の1つに位置づけられています。
JSOX(内部統制報告制度)では、財務報告の信頼性を担保するために社内に整備された統制が、適切に整備、運用されているか否かについて評価する手続きを実施します。財務報告においてIT(情報技術)が利用される場合、当該IT(情報技術)も評価を実施する必要があります。
統制は大きくマニュアル統制とシステム統制に区分することができます。IT(情報技術)を基礎とした統制がシステム統制です。システム統制の評価に際してはJSOX(内部統制報告制度)への理解に加え、IT(情報技術)に対する専門的な知識が必要となります。
JSOX導入担当者は社内のIT専門家と協力し、システム統制の評価を実施しなければなりません。社内のIT専門家がJSOX(内部統制報告制度)の知見を有することは稀ですので、JSOX導入担当者は社内のIT専門家へ、達成すべき目標、必要なデータ、情報等を的確に伝えていく必要があります。
上述の役割を達成するため、これから複数回にわたり、「財務報告に係る内部統制の評価及び監査の基準」(内部統制基準)におけるITに関連する統制評価がどのように整理されているかについて体系的に記載したいと思います。
内部統制の定義にも含まれるIT対応
内部統制基準において、内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成されると定義されています。
米国では統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリングの5つが基本的要素として記載されていますが、日本ではITの重要性を鑑み、IT(情報技術)への対応を追加した6つが基本的要素として定義されています。
ITへの対応
ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいいます。ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではありませんが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となるものとされています。
IT環境への対応
ITへの対応は、「IT環境への対応」と「ITの利用及び統制」から構成されます。 IT環境とは、組織が活動する上で必然的に関わる内外のITの利用状況をいい、社会及び市場におけるITの浸透度、組織が行う取引等におけるITの利用状況、及び組織が選択的に依拠している一連の情報システムの状況等をいいます。
IT環境に対しては、組織目標を達成するために、組織の管理が及ぶ範囲において予め適切な方針と手続を定め、それを踏まえた適切な対応を行う必要があります。IT環境への対応は、単に統制環境のみに関連づけられるものではなく、個々の業務プロセスの段階において、内部統制の他の基本的要素と一体となって評価されます。
ITの利用及び統制
続いて、「ITの利用及び統制」です。「ITの利用及び統制」は、組織内において、内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること、組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させることをいいます。ITの利用及び統制は、内部統制の他の基本的要素と密接かつ不可分の関係を有しており、これらと一体となって評価されます。
また、ITの利用及び統制は、導入されているITの利便性とともにその脆弱性や業務に与える影響の重要性等を十分に勘案した上で、評価しなければならないとされています。
昨今の企業環境においては、財務報告の信頼性に関して、ITの評価を度外視して考えることはできません。財務報告プロセスに重要な影響を及ぼすIT環境への対応及び財務報告プロセス自体に組み込まれたITの利用及び統制を適切に考慮し、財務報告の信頼性を担保するために必要な内部統制の基本的要素を整備、評価することが必要となります。
例えば、統制活動について見ると、企業内全体にわたる情報処理システムが財務報告に係るデータを適切に収集し処理するプロセスとなっていることを確保すること、あるいは、各業務領域において利用されるコンピュータ等のデータが適切に収集、処理され、財務報告に反映されるプロセスとなっていることを確保すること等が挙げられます。
まとめ
今回はJSOX(内部統制報告制度)におけるIT対応のフレームワークを記載しました。監査法人の担当者も会計監査の担当者とは異なるIT専門家が担当することが一般的です。JSOX対応を円滑に進めるために、監査法人のIT専門家と社内のIT専門家の間のコミュニケーション確保等もJSOX導入担当者の重要な役割の一つといえます。
JSOX(内部統制報告制度)におけるIT対応を適切に理解を通じて、社内のIT専門家との円滑なコミュニケーションが可能になると思います。
個別転職相談(無料)のご予約はこちらから
最新記事はKaikeiZine公式SNSで随時お知らせします。
◆KaikeiZineメルマガのご購読(無料)はこちらから!
おすすめ記事やセミナー情報などお届けします
【メルマガを購読する】
(関連記事)
IPO担当者必見!内部統制構築の奥義
【第2回】3点セットの完成までに越えなければならない「二つの壁」
【第3回】非公式「 J-SOXチーム」を作るためのたった一つの方法
【第4回】J-SOX担当者にとって最もプレッシャーのかかる「監査法人対応」
【第8回】「J-SOX」導入時に社内分裂を起こさないために気を付けること
【第18回】JSOX(内部統制報告制度)における「不備」の考え方①
【第19回】JSOX(内部統制報告制度)における「不備」の考え方②
【第20回】JSOX(内部統制報告制度)における「不備」の考え方③