連載「IPO担当者必見!内部統制構築の奥義」の第26回目です。内部統制報告制度における報告対象は「財務報告の信頼性」に関連する範囲となります。前回はIT統制においてもその評価範囲は、「財務報告の信頼性」に関連する範囲であることを記載させていただきました。
今回はITの統制を評価する際に、どのような考え方に基づいて評価範囲を決定していくかを記載したいと思います。

ITを利用した内部統制の評価

1. ITを利用した内部統制の評価

情報システムにITが利用されている場合、通常、情報は種々の業務システムで処理、作成され、その情報が会計システムに反映されます。

経営者は、こうした業務システムや会計システムによって作成される財務情報の信頼性を確保するための内部統制を評価しなければなりません。

内部統制には、プログラムに組み込まれて自動化されている内部統制、手作業とコンピュータ処理が一体となって機能している内部統制があります。

また、ITの統制は、「全般統制」と「業務処理統制」に分けられ、経営者はこの両者を評価する必要があります。

2. 評価範囲の決定

「財務報告に係る内部統制の評価及び監査の基準」(内部統制基準)において、IT統制の評価範囲を決定する際は以下のような手順で実施することが記載されています。

(1)業務プロセスとシステムの範囲特定

財務報告に係るITの評価では、まず、財務報告に係る内部統制に関連するシステムの対象範囲を明確にする必要があります。

業務プロセスにおける取引の発生から集計、記帳といった会計処理の過程を確認する際に、財務諸表の重要な勘定科目がどのような業務プロセス及びシステムと関連しているか、システムの機能の概要、どの部署で利用されているか等について整理します。

その際には、各業務プロセスにおいて用いる業務プロセスにおける取引の発生から集計、記帳といった会計処理の過程の整理に加えて、システム間のデータの流れ等を、必要に応じ図や表を活用して把握・整理し、また各業務プロセスで使用されているシステムの一覧を作成することが有用となります。

内部統制報告制度においては、評価対象とする業務プロセスが特定されます。

IT統制評価においては、評価対象となった業務プロセスを起点として関連するシステムを特定し、当該システムが担う重要な統制を評価対象のIT統制として識別します。

(2)IT基盤の把握

各業務プロセスにおけるシステムの把握に加えて、それを支援するIT基盤の概要を把握します。例えば、以下のような項目について把握を行います。 

  • ITに関与する組織の構成
  • ITに関する規程、手順書等 
  • ハードウェアの構成 
  • 基本ソフトウェアの構成 
  • ネットワークの構成 
  • 外部委託の状況