連載「IPO担当者必見!内部統制構築の奥義」の第25回目です。この連載では、IPOを目指すJ-SOX導入プロジェクトを担当される方々が、具体的にどのようなアクションをとればよいかを説明します。
IPOを目指す際に、最も苦労する作業といわれるJ-SOX導入。「J-SOX導入プロジェクト」を担当される実務家の方が「何をすれば良いのか」、「どのように進めれば良いのか」といった具体的なイメージを描けるよう、実際のゴールとなる「成果物」、「具体的なアクション」に焦点を当てて話を進めたいと思います。

はじめに

前回はIT(情報技術)利用が「財務報告に係る内部統制の評価及び監査の基準」(内部統制基準)において、どのような効果をもたらすものか、どのようなリスクを持つものであるかがどのように記載されているかを確認しました。

今回は、内部統制基準において、IT統制の整備時に、財務報告の信頼性を確保するために、どのような視点、要件が必要となるかを記載したいと思います。

内部統制基準に記載されている「ITの統制」

内部統制基準において、ITの統制は、ITを取り入れた情報システムに関する統制と定義されています。自動化された統制が中心となりますが、手作業による統制が含まれることもあります。

1.組織目標を達成するためのITの統制目標

ITの統制を有効なものとするために経営者が設定する目標を、ITの統制目標といいます。内部統制基準において、ITの統制目標としては、以下のような例示が挙げられています。

  • (ア) 有効性及び効率性:情報が業務に対して効果的、効率的に提供されていること
  • (イ) 準拠性:情報が関連する法令や会計基準、社内規則等に合致して処理されていること
  • (ウ) 信頼性:情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること(正当性、完全性、正確性)
  • (エ) 可用性:情報が必要とされるときに利用可能であること
  • (オ) 機密性:情報が正当な権限を有する者以外に利用されないように保護されていること

 内部統制基準に対応するための内部統制の整備を行う際に、ITに関連する統制は上述の視点から監査法人監査が実施されます。内部統制の整備の段階では監査法人から様々なコメントを受領しますが、そのコメントは上述の要件のいずれかに基づくものとなります。

 財務報告の信頼性を確保するためのITの統制は、会計上の取引記録の「正当性」、「完全性」、「正確性」を確保するものである必要があります。各用語の定義は以下となります。

  • 正当性:取引が組織の意思・意図にそって承認され、行われること
  • 完全性:記録した取引に漏れ、重複がないこと
  • 正確性:発生した取引 が財務や科目分類などの主要なデータ項目に正しく記録されること

 金融商品取引法による内部統制報告制度においては、報告の対象が「財務報告の信頼性を確保」にあるため、ITの統制についても、財務報告の信頼性を確保するために整備するものが対象となります。よって、財務報告の信頼性以外の目的を達成するためのITの統制の整備及び運用を直接的に求めるものではありません。