IPO担当者必見！内部統制構築の奥義【第24回】JSOX(内部統制報告制度)におけるIT統制②

この連載では、IPOを目指すJ-SOX導入プロジェクトを担当される方々が、具体的にどのようなアクションをとればよいかを説明します。
IPOを目指す際に、最も苦労する作業といわれるJ-SOX導入。「J-SOX導入プロジェクト」を担当される実務家の方が「何をすれば良いのか」、「どのように進めれば良いのか」といった具体的なイメージを描けるよう、実際のゴールとなる「成果物」、「具体的なアクション」に焦点を当てて話を進めたいと思います。

はじめに

内部統制の構築においてIT（情報技術）利用の重要度は日に日に高まっています。業務の効率化において、ITの利用検討を欠かすことはできません。

今回は、内部統制構築時のIT利用が、どのような効果をもたらすか、どのようなリスクを持つかについて、「財務報告に係る内部統制の評価及び監査の基準」(内部統制基準)にどのような記載がされているかを紹介したいと思います。

内部統制基準に記載されている「ITの利用」の効果

ITには、情報処理の有効性、効率性等を高める効果があります。これを内部統制に利用することにより、より有効かつ効率的な内部統制の構築を可能とすることができます。「財務報告に係る内部統制の評価及び監査の基準」(内部統制基準)においては、ITの利用が内部統制に与える効果として以下の５つが記載されており、記載の主な内容は以下となっています。

1．統制環境の有効性を確保するためのITの利用

ITの利用は統制環境に影響を与えるものと位置づけられています。具体的には、統制環境のうちITに関連する事項として、例えば、次のものが記載されています。

(ア) 経営者のITに対する関心、考え方

(イ) ITに関する戦略、計画、予算等の策定及び体制の整備

(ウ) 組織の構成員のITに関する基本的な知識や活用する能力

(エ) ITに係る教育、研修に関する方針

ITの利用は、統制環境の整備及び運用を効率的に行っていく上でも重要です。ITの利用により、統制環境の整備及び運用を支援することも可能ですが、容易に不正等が可能となる場合もあるため、こうしたリスクを防止すべく適切な統制活動も、ITの利用においてはあわせて検討することが必要となります。

2．リスクの評価と対応の有効性を確保するためのITの利用

組織内外の事象を認識する手段やリスク情報を共有する手段としてITを利用することによって、リスクの評価と対応をより有効かつ効率的に機能させることが可能となります。例えば、販売管理部門又は経理部門において、売掛債権の発生や回収を適時に把握し、回収が滞っている売掛債権について別途の管理をする仕組みをITを利用して構築しておくことで、適切な売掛債権の管理を有効かつ効率的に行うことが可能となります。また、ITを利用して組織内部におけるリスク情報の共有状況を把握し、これに基づき、リスクが適切な担当者の間で共有されているかを分析し、その結果に基づいて、リスク情報の共有範囲を見直すなどの内部統制の整備を行うことも考えられます。

3．統制活動の有効性を確保するためのITの利用

ITを利用した統制活動を、適切に設計して業務プロセスに組み込むことにより、統制活動の自動化が可能となります。例えば、適切な生産管理システムを開発し、その中に棚卸の検証プログラムを組み込んでおき、製造部門が製造指図書のデータに従って在庫原材料の出庫数量を入力する手続や倉庫係が日々の原材料の実在庫データを入力する手続等を業務プロセスに組み込むことにより、瞬時に帳簿在庫と実在庫の差を把握し、問題の発見に役立てることが考えられます。統制活動が自動化されている場合、手作業による統制活動に比べて迅速な情報処理が期待できるほか、人間の不注意による誤謬等の防止も可能となり、内部統制の評価及び監査の段階における手続の実施も容易なものとなります。

一方で、統制活動が自動化されているとプログラムの不正な改ざんや不正な使用等があった場合に、プログラムに精通した者しか対応できず、不正等の適時の発見が困難になるといった問題点も考えられるため、適切なアクセス管理等の措置を講じておくことには留意が必要です。

4．情報と伝達の有効性を確保するためのITの利用

ITの利用により、組織内部での情報伝達の手段を効果的に業務プロセスに組み込むことも可能となります。例えば、必要な承認や作業完了が一定期間に実施されないと、その旨が担当者の上司に伝達される機能など、業務管理に必要な情報の伝達を、業務プロセスに組み込むこともできます。ホームページ上の掲載などITを利用することにより、組織外部に向けた報告を適時に行うことが可能となるとともに、アプリケーション等を利用して、自社製品へのクレーム情報等を外部から収集したりすることも可能となります。ただし、組織外部への情報の公開及び情報の収集にITを利用する場合、特に外部からの不正な侵入等に対して適切な防止措置を講じるなどの情報セキュリティへの留意が重要となります。

5．モニタリングの有効性を確保するためのITの利用

統制活動の有効性に関する日常的モニタリングは、日常の業務活動を管理するシステムに組み込み自動化することで、より網羅的に実施することが可能となります。その結果、独立的評価に当たってリスクを低く見積もることができるため、独立的評価の頻度を低くしたり、投入する人員を少なくすることも可能となります。一方、ITを利用したモニタリングは、予めモニタリングする指標を設定してプログラミングしておく必要がある等、システム設計段階から計画的に準備を進めることも必要となります。

上述のとおり、内部統制にITを利用することにより、より有効かつ効率的な内部統制の構築が期待できます。一方、ITを高度に取り入れた情報システムは、手作業による情報システムと異なり、稼動後の大幅な手続の修正が困難であるという論点があります。システムの仕様によっては、ITを利用して実施した手続や情報の変更等が適切に記録されないことがあり、そのような場合には、事後の検証が困難となる等の問題が生じる場合もあります。

したがって、内部統制の整備及び運用に当たっては、ITを利用した情報システムの特性を十分に理解し、予め計画的に準備を進めるとともに、適切な事後の検証方法等について検討しておくも必要となります。

まとめ

内部統制基準では、IT利用の「効果」、「メリット」だけでなく、それに対応する「検討すべきリスク」があわせて記載されています。これはJSOX(内部統制報告制度)導入時、導入後に、監査法人等から重点的に確認が行われるということを意味しますので、記載内容についてしっかりと理解、把握しておくことが有用です。

JSOX導入後のIT利用に際しては、上述の視点で監査法人からの確認が行われる点も踏まえて、システム設計、要件定義等を実施するとよいと思います。