IPO担当者必見！JSOX（内部統制報告制度）におけるIT統制6 | KaikeiZine｜“会計人”のための税金・会計専門メディア

内部統制の評価は毎期実施する必要があります。ここでITを利用した内部統制の評価については、「財務報告に係る内部統制の評価及び監査の基準」(内部統制基準)において、一定の条件のもとに過年度の評価結果を継続して利用することが認められています。
今回はITの有効性判断とITを利用した内部統制の評価において、過年度の評価結果を継続して利用することが認められるための「条件」について確認したいと思います。

ITの有効性判断

　ITに係る内部統制の評価は「ITに係る全般統制」と「ITに係る業務処理統制」に区分されます。それぞれの定義は以下となります。

1．ITに係る全般統制

ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動です。通常、複数の業務処理統制に関係する「方針」と「手続」をいいます。

ITを利用した情報システムにおいては、一旦適切な内部統制（業務処理統制）を組み込めば、意図的に手を加えない限り継続して機能する性質があります。

一方、その後システムの変更の段階で必要な内部統制が組み込まれない場合や、プログラムに不正な改ざんや不正なアクセスが行われた場合、当初適切な内部統制（業務処理統制）を組み込んだとしても、その有効性が保証されなくなるリスクがあります。

このようなリスクの発生を未然に防ぐための体制を全般統制として整備します。

2．ITに係る業務処理統制

ITに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制をいいます。

業務処理統制は、手作業により実施することも可能ですが、システムに組み込むことにより、より効率的かつ正確な処理を可能とすることができます。

IT統制の不備の整理

IT統制の不備は「全般統制の不備」と「業務処理統制の不備」のいずれかによって内部統制上の評価における取り扱いが異なります。

1．ITに係る全般統制に不備がある場合

ITに係る全般統制に不備がある場合には、代替的又は補完的な他の内部統制により、財務報告の信頼性という目的が達成されているかを検討します。

ITに係る全般統制の不備は、財務報告の重要な事項に虚偽記載が発生するリスクに直接に繋がるものではないため、直ちに開示すべき重要な不備と評価されるものではありません。

しかし、ITに係る全般統制に不備があった場合には、たとえITに係る業務処理統制が有効に機能するように整備されていたとしても、その有効な運用を継続的に維持することができない可能性があるため、虚偽記載が発生するリスクが高まることとなります。

2．ITに係る業務処理統制に不備がある場合

ITに係る業務処理統制に不備がある場合には、業務プロセスに係る内部統制に不備がある場合と同様に、その影響度と発生可能性の評価を行う必要があります。

ITに係る業務処理統制のうち、人とITが一体となって機能する統制活動に不備がある場合に、経営者は、その不備の内容が、人に関する部分から生じているものなのか、それともITに関する部分から生じているものなのかを識別する必要があります。

ITに関する部分から生じている場合には、同じ種類の誤りが繰り返されている可能性があることに十分に注意しなければなりません。

過年度の評価結果の利用

ITを利用した内部統制の評価は、ITを利用していない内部統制と同様に原則として毎期実施する必要があります。

ITを利用して自動化された内部統制に関しては、一度内部統制が設定されると、変更やエラーが発生しない限り一貫して機能するという性質があるため、経営者は、自動化された内部統制が過年度に内部統制の不備が発見されずに有効に運用されていると評価された場合、以下の3つを確認、結果を記録することで、当該評価結果を継続して利用することが認められています。

評価された時点から内部統制が変更されてないこと
障害･エラー等の不具合が発生していないこと
関連する全般統制の整備及び運用の状況を確認及び評価した結果、全般統制が有効に機能していると判断できること

また、「財務報告に係る内部統制の評価及び監査の基準」(内部統制基準)においては、ITに係る業務処理統制の評価のうち、ITを利用して自動化された内部統制については、上述に従い、過年度の評価結果を継続して利用できる場合、「一定の複数会計期間」に一度の頻度で運用状況のテストを実施する方法も含まれるとされており、具体的な年数は記載されていません。