連載「IPO担当者必見!内部統制構築の奥義」の第27回目です。今回はIT統制の有効性の評価方法について解説します。
ITを利用した内部統制の評価
内部統制報告制度における報告対象は「財務報告の信頼性」に関連する範囲となります。
ITの統制においてもその範囲は変わりません。
前回は内部統制報告制度においてITの統制を評価する際に、どのような考え方に基づいて評価範囲を決定していくかについて2点のポイントを記載しました。
1点目は「プログラムに組み込まれて自動化されている内部統制」と「手作業とコンピュータ処理が一体となって機能している内部統制」を区分していること、2点目は「全般統制」と「業務処理統制」に区分して評価する点です。
「財務報告に係る内部統制の評価及び監査の基準」(内部統制基準)においては、ITの統制が有効に機能していることを確認するために、「全般統制」と「業務処理統制」に区分し、それぞれの有効性を確認するという方法が採用されています。
今回はそれぞれの評価目的が内部統制基準においてどのように記載されているかを確認したいと思います。
ITを利用した内部統制の整備状況及び運用状況の有効性の評価
1. ITに係る「全般統制」の評価
ITに係る「全般統制」は、IT基盤の概要をもとに評価単位を識別します。
例えば、自社開発の販売、購買、物流のシステムについては、システム部が管理し、会計システムについては、経理部が市販のパッケージ・ソフトウェアを導入・管理している場合、評価単位を「システム部」と「経理部」の2つとして識別します。
識別した「全般統制」の評価単位について、経営者は、次のような点において有効に整備及び運用されているか評価します。
・システムの開発、保守 ・システムの運用・管理
・内外からのアクセス管理などのシステムの安全性の確保
・外部委託に関する契約の管理
「全般統制」は、システムに組み込まれたプログラム等が安定的に機能することを担保するための統制が、適切に整備、運用されているかを確認する手続きといえます。
内部統制の有効性の評価のうち、内部統制の運用状況の有効性の評価は、「業務処理統制」と「全般統制」をそれぞれ独立して実施するという形でなく、業務処理統制の運用状況の評価とあわせて、関連する全般統制の運用状況の評価を実施する形で実施します。
例えば、業務処理統制の運用状況の評価の実施範囲を拡大することにより、全般統制の運用状況の評価を実施せずに、内部統制の運用状況の有効性に関して十分な心証が得られる場合もあります。
2. ITに係る「業務処理統制」の評価
「業務処理統制」においても評価対象は「財務報告に係る内部統制」に関連するシステムとなります。
財務諸表の重要な勘定科目がどのような業務プロセス及びシステムと関連しているかを把握し、取引の発生から集計、記帳といった会計処理の過程を整理し、システム間のデータの流れ等を理解する必要があります。
識別したITに係る「業務処理統制」が、適切に業務プロセスに組み込まれ、運用されているかを評価するために、次のような点について、業務処理統制が有効に整備及び運用されているかを評価します。
・入力情報の完全性、正確性、正当性等が確保されているか
・エラーデータの修正と再処理の機能が確保されているか
・マスタ・データの正確性が確保されているか
・システムの利用に関する認証・操作範囲の限定など適切なアクセス管理がなされているか
「業務処理統制」は、システムへのインプットデータが適切であるか、アウトプットデータが適切であるか等を中心として、システムに組み込まれたプログラムの適切性を確認します。
エラーデータに対する修正方法や、システムが保有するマスタ・データの変更等に関連する統制はアウトプットデータの信頼性に大きな影響を与えるため、「適切な財務報告を行う」という観点から重要なポイントとなります。
まとめ
今回は内部統制基準において、ITの統制の評価が「全般統制」と「業務処理統制」に区分して有効性を確認するという方法が採用されていることを記載しました。
「全般統制」は、システムに組み込まれたプログラム等が安定的に機能することを担保するための統制が、適切に整備、運用されているかを確認する手続きであること、「業務処理統制」は、システムへのインプットデータが適切であるか、アウトプットデータが適切であるか等を中心に、システムに組み込まれたプログラムの適切性を確認することが目的となります。
また「全般統制」の評価に際しては、業務処理統制の運用状況の評価の実施範囲を拡大することにより、全般統制の運用状況の評価を実施せずに、内部統制の運用状況の有効性に関して十分な心証が得られる場合があることが内部統制基準に記載されていることも紹介しました。
具体的な評価手続きについては監査法人を含めた関係者の合意により確定が必要となりますが、内部統制報告制度におけるITの統制評価に際して、「全般統制」と「業務処理統制」の関係性や評価方法について、内部統制基準において整理されている概念に留意して頂くと、JSOX導入を担当される方は効率的に評価作業を実施できると思います。
個別転職相談(無料)のご予約はこちらから
最新記事はKaikeiZine公式SNSで随時お知らせします。
◆KaikeiZineメルマガのご購読(無料)はこちらから!
おすすめ記事やセミナー情報などお届けします
【メルマガを購読する】
(関連記事)
IPO担当者必見!内部統制構築の奥義
【第22回】JSOX(内部統制報告制度)における「不備」の考え方⑤
▶その他関連記事はこちら