HOME > ナレッジ情報 > 内部統制(J-SOX) > シリーズ<13> ITを利用した内部統制

シリーズ<13> ITを利用した内部統制

1.はじめに

 本シリーズ13では、ITを利用した内部統制を中心に解説していきます。IT環境の飛躍的な進展によってITが組織に深く浸透してきました。このため、「ITへの対応」は、内部統制を構築していく上で、重要な要素となっています。シリーズ13では、この「ITへの対応」を中心に、ITを利用した内部統制について解説し、その後、そのITを利用した内部統制の評価方法について解説します。

2.内部統制の構成要素としての「ITへの対応」

 IT環境の飛躍的な進展によって、組織の業務内容がITに大きく依存していたり、組織の情報システムがITを高度に取り入れている等、現状では多くの組織がIT抜きでは業務を遂行することができなくなっています。このため、ITへ十分に対応できていない場合には、内部統制の不備となる可能性が高くなってきます。そこで、内部統制実施基準では、「ITへの対応」を基本的要素の1つとして独立させています。なお、組織に新たなITシステムの導入を要求したり、既存のITシステムの更新を要求しているわけではありません。これは、あくまで現状利用しているITの利用に対して、十分に内容を理解し、対応しなければならないことを定めているに過ぎません。

 ITへの対応では、次の3つが構成によって対応が図られます。

 

≪ITへの対応≫

  • IT環境への対応
  • ITの利用
  • ITの統制

 以下では、IT環境への対応から、順次解説していきます。

(1)IT環境への対応


 IT環境とは、組織が活動する上で必然的に関わる内外のITの利用状況のことで、社会及び市場におけるITの浸透度、組織が行う取引等におけるITの利用状況、及び組織が選択的に依拠している一連の情報システムの状況等をいいます。

 組織は、組織を取り巻くIT環境を適切に理解しなければなりません。このIT環境の理解を踏まえて、ITの利用及び統制について適切な対応を行う必要があるからです。すなわち、IT環境の理解において、自社がどのようなITを利用しているのかを把握し、そこで把握された状況に応じて、ITを利用してより有効かつ効率的な内部統制の構築を可能にすることができます。

 個々の組織を取り巻くIT環境として、以下の項目などを理解することになります。

 

≪IT環境≫

  • 社会及び市場におけるITの浸透度
  • 組織が行う取引等におけるITの利用状況
  • 組織が選択的に依拠している一連の情報システムの状況(情報システムに依拠しているかどうか、依拠している場合にどのような情報システムに依拠しているか等)
  • ITを利用した情報システムの安定度
  • ITに係る外部委託の状況

(2)ITの利用


 ITには、情報処理の有効性、効率性等を高める効果があります。反復的・自動的に連続して処理がなされていくのがITであり、これを内部統制に利用することで、より有効かつ効率的な内部統制の構築を可能にし、他の内部統制の構成要素の有効性を確保することができます。

 ただし、ITを高度に取り入れた情報システムは、手作業による情報システムと異なり、システム構築するためのプログラミング作業が行われるため、稼動後の大幅な手続の修正が困難であることがしばしばあります。また、システムの仕様によっては、ITを利用して実施した手続や情報の変更等が適切にログとして記録されないことがあり、そのような場合には、事後の検証が非常に難しくなってしまいます。

 したがって、内部統制の整備及び運用に当たっては、ITを利用した情報システムの特性を十分に理解し、予め計画的に準備を進めるとともに、適切な事後の検証方法等について検討しておく必要があります。

 なお、内部統制にITを利用せず、専ら手作業によって内部統制が運用されている場合には、手作業による誤謬等を防止するための内部統制が構築されていれば特に問題ないため、ITを利用していないからといって直ちに内部統制の不備となるわけでははありません。

 以下では、それぞれの構成要素において、ITがどのように関連するのかを確認していきます。

 

@統制環境の有効性を確保するためのITの利用

 統制環境のうちITに関連する事項としては、例えば、次のものが挙げられます。

 

≪統制環境とIT≫

  • 経営者のITに対する関心、考え方
  • ITに関する戦略、計画、予算等の策定及び体制の整備
  • 組織の構成員のITに関する基本的な知識や活用する能力
  • ITに係る教育、研修に関する方針

 また、ITの利用は、統制環境の整備及び運用を効率的に行っていく上でも重要となります。例えば、電子メールといったITを利用することは、経営者の意向、組織の基本的方針や決定事項等を組織の適切な者に適時に伝達することを可能にし、統制環境の整備及び運用を支援することになります。一方で、ITの利用は、例えば、経営者や組織の重要な構成員等が電子メール等を用いることにより、容易に不正を共謀すること等も可能としかねず、これを防止すべく適切な統制活動が必要となることにも留意する必要があります。

 

Aリスクの評価と対応の有効性を確保するためのITの利用

 組織内外の事象を認識する手段として、またリスク情報を共有する手段としてITを利用することにより、リスクの評価と対応をより有効かつ効率的に機能させることが可能となります。例えば、販売管理部門又は経理部門において、売掛債権の発生や回収を適時に把握し、回収が滞っている売掛債権について別途の管理をする仕組みをITを利用して構築しておくことにより、適切な売掛債権の管理を有効かつ効率的に行うことが可能となります。また、ITを利用して組織内部におけるリスク情報の共有状況を把握し、これに基づき、リスクが適切な者の間で共有されているかを分析し、その結果に基づいて、リスク情報の共有範囲を見直すなどの内部統制の整備を行うことも考えられます。

 

B統制活動の有効性を確保するためのITの利用

 ITを利用した統制活動を、適切に設計して業務プロセスに組み込むことにより、統制活動の自動化が可能となります。例えば、適切な生産管理システムを開発し、その中に棚卸の検証プログラムを組み込んでおき、製造部門が製造指図書のデータに従って在庫原材料の出庫数量を入力する手続や倉庫係が日々の原材料の実在庫データを入力する手続等を業務プロセスに組み込むことにより、瞬時に帳簿在庫と実在庫の差を把握し、問題の発見に役立てることができます。

 統制活動が自動化されている場合、手作業による統制活動に比べて迅速な情報処理が期待できるほか、人間の不注意による誤謬等の防止も可能となり、結果として、内部統制の評価及び監査の段階における手続の実施も容易なものとなります。一方で、統制活動が自動化されているとプログラムの不正な改ざんや不正な使用等があった場合に、プログラムに精通した者しか対応できず、不正等の適時の発見が困難になるといった問題点も考えられ、適切なアクセス管理等の措置を講じておくこと重要となります。

 

C情報と伝達の有効性を確保するためのITの利用

 ITの利用により、組織内部での情報伝達の手段を効果的に業務プロセスに組み込むことも可能です。ITを利用した情報システム、特にネットワークが使われている場合には、例えば、必要な承認や作業完了が一定期間に実施されないと、その旨が担当者の上司に伝達される機能など、業務管理に必要な情報の伝達を、業務プロセスに組み込むこともできます。

 また、ホームページ上でメッセージの掲載などITを利用することにより、組織外部に向けた報告を適時に行うことも可能となります、逆に、ITを利用して、自社製品へのクレーム情報等を外部から収集したりすることも可能である。ただし、組織外部への情報の公開及び情報の収集にITを利用する場合には、特に外部からの不正な侵入等に対して適切な防止措置を講じるなどの対策が必要になります。

 

Dモニタリングの有効性を確保するためのITの利用

 統制活動の有効性に関する日常的モニタリングは、日常の業務活動を管理するシステムに組み込み自動化することで、より網羅的に実施することが可能となります。その結果、独立的評価に当たってリスクを低く見積もることができるため、独立的評価の頻度を低くしたり、投入する人員を少なくすることも可能となります。

 一方、ITを利用したモニタリングは、予めモニタリングする指標を設定してプログラミングしておく必要があるため、システム設計段階から計画的に準備を進めることが必要です。

3.ITの統制

 ITの統制とは、ITを取り入れた情報システムに関する統制のことです。基本的に、自動化された統制が中心ですが、しばしば、手作業による統制が含まれます。

 まず、ITの統制を有効なものにするため、ITの統制目標を設定します。ITの統制目標は、例えば、有効性及び効率性、準拠性、信頼性、可用性、機密性などが挙げられます。

 財務報告の信頼性を確保するためのITの統制としては、会計上の取引記録の正当性、完全性及び正確性を確保するために実施されます。なお、金融商品取引法による内部統制報告制度においては、ITの統制についても、財務報告の信頼性を確保するために整備するものであり、財務報告の信頼性以外の他の目的を達成するためのITの統制の整備及び運用を直接的に求めていません。

 

≪財務報告の信頼性を確保するためのITの統制≫

  • 正当性:取引が組織の意思・意図にそって承認され、行われること
  • 完全性:記録した取引に漏れ、重複がないこと
  • 正確性:発生した取引が財務や科目分類などの主要なデータ項目に正しく記録されること

 次に、経営者は、自ら設定したITの統制目標を達成するため、ITの統制を構築していきます。ITに対する統制活動は、全般統制と業務処理統制の2つからなります。完全かつ正確な情報の処理を確保するためには、両者が一体となって機能することが重要です。

 以下では、全般統制と業務処理統制について解説していきます。

(1)ITに係る全般統制


 ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいいます。

 ITに係る全般統制の具体例としては、以下のような項目が挙げられます。 ≪ITに係る全般統制≫

  • システムの開発、保守に係る管理
  • システムの運用・管理
  • 内外からのアクセス管理などシステムの安全性の確保
  • 外部委託に関する契約の管理

 ITを利用した情報システムにおいては、一旦適切な内部統制(業務処理統制)を組み込めば、意図的に手を加えない限り継続して機能するので、内部統制の目標は達成されます。しかし、その後のシステムの変更の段階で必要な内部統制が組み込まれなかったり、プログラムに不正な改ざんや不正なアクセスが行われたりした場合には、適切な内部統制(業務処理統制)を組み込んだとしても、その有効性が保証されなくなってしまいます。のため、全般統制が有効に機能しない場合には、IT全体の有効性が確保できないことから、ITに係る全般統制を適切に整備していく必要があります。

 なお、こうした問題に対応していくためには、例えば、システムの開発又は変更に際して、当該システムと既存システムと整合しているか検討し、開発・変更の過程等の記録を適切に保存することが考えられます。また、プログラムの不正な使用、改ざん等を防止するために、システムへのアクセス管理に関して適切な対策を講じることも考えられます。

 ITに係る全般統制は、通常、業務を管理するシステムを支援するIT基盤(ハードウェア、ソフトウェア、ネットワーク等)を単位として構築することになります。例えば、購買、販売、流通の3つの業務管理システムが1つのホスト・コンピュータで集中管理されていて、すべて同一のIT基盤の上で稼動している場合、当該IT基盤に対する有効な全般統制を構築することにより、3つの業務に係る情報の信頼性を高めることが期待できます。

一方、それぞれの業務管理システムがそれぞれ異なるIT基盤の上で稼働している場合には、それぞれのIT基盤を管理する部門、運用方法等が異なっていることが考えられますので、それぞれのIT基盤ごとに全般統制を構築する必要があります。

(2)ITに係る業務処理統制


 ITに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制のことをいいます。

 ITに係る業務処理統制の具体例としては、以下のような項目が挙げられます。 ≪ITに係る業務処理統制≫

  • 入力情報の完全性、正確性、正当性等を確保する統制
  • 例外処理(エラー)の修正と再処理
  • マスタ・データの維持管理
  • システムの利用に関する認証、操作範囲の限定などアクセスの管理

 これらの業務処理統制は、手作業により実施することも可能であるが、手作業による管理だと人為的なミスが発生したりすることも考えられるので、システムに組み込むことにより、処理スピードが増すだけなく、正確な処理が可能となります。

4.ITを利用した内部統制の評価

 上記で解説したように、ITを利用した内部統制が構築されている場合には、これに対して、経営者は評価していく必要があります。ここでいうITを利用した内部統制には、コンピュータ・プログラムに組み込まれて自動化されている内部統制、人手とコンピュータ処理が一体となって機能している内部統制になります。

また、ITの統制は、全般統制と業務処理統制に分けられ、経営者はこの両者を評価する必要があります。

 ITを利用した内部統制の評価では、次の流れで実施します。

  • 評価範囲の決定
  • 評価単位の識別
  • 整備状況及び運用状況の有効性の評価

 以下では、IT基盤の把握から順次解説していきます。

(1)評価範囲の決定


 財務報告に係るITの評価では、まず、財務報告に係る内部統制に関連するシステムの対象範囲を明確にする必要があります。業務プロセスにおける取引の発生から集計、記帳といった会計処理の過程を確認する際に、財務諸表の重要な勘定科目がどのような業務プロセス及びシステムと関連しているか、システムの機能の概要、どの部署で利用されているか等について整理していきます。その際には、業務フローチャートや業務記述書の文書と合わせて、整理すると効率的です。

 これに合わせて、業務プロセスにおけるシステムを支援するIT基盤の概要を把握していきます。IT基盤の概要の把握としては、ITに関与する組織の構成、ITに関する規程、手順書等、ハードウェアの構成、基本ソフトウェアの構成、ネットワークの構成、外部委託の状況などを把握する必要が考えられます。

(2)評価単位の識別


 ITに係る全般統制は、業務を管理するシステムを支援するIT基盤を単位として構築していきますので、IT基盤の概要をもとに評価単位を識別し、評価を行っていくことになります。例えば、自社開発の販売、購買、物流のシステムについては、システム部が管理し、会計システムについては、経理部が市販のパッケージ・ソフトウェアを導入・管理している場合、評価単位を「システム部」と「経理部」の2つとして識別することになります。

 一方、ITに係る業務処理統制の評価は、基本的には個々のシステム毎に行う必要があるので、各システムにおける業務処理統制を識別していきます。この際、業務フローチャートや業務記述書を参考にすることが考えられます。経営者は、財務諸表の勘定科目と取引、業務プロセス及びシステムとの関係を理解し、主要な取引等について、どの会計データがどのシステムに依存しているのかを把握する必要があります。

(3)ITを利用した内部統制の整備状況及び運用状況の有効性の評価


 ITを利用した内部統制の整備状況及び運用状況の有効性の評価は、全般統制と業務処理統制のそれぞれについて、評価していくことになります。

 

@ITに係る全般統制の評価

経営者は、ITに係る全般統制が、例えば、次のような点において有効に整備及び運用されているか評価します。

 

≪全般処理統制の評価項目≫

  • システムの開発、保守
  • システムの運用・管理
  • 内外からのアクセス管理などのシステムの安全性の確保
  • 外部委託に関する契約の管理

 全般処理統制の運用状況の評価は、業務処理統制の運用状況の評価とあわせて実施します。ただし、業務処理統制の運用状況の評価の実施範囲を拡大することにより、全般統制の運用状況の評価を実施せずに、内部統制の運用状況の有効性に関して十分な心証が得られる場合もあります。

 

AITに係る業務処理統制の評価

 ITに係る業務処理統制は、適切に業務プロセスに組み込まれ、運用されているかを評価します。具体的には、次のような点について、有効に整備及び運用されているかを評価します。

 

≪全般処理統制の評価項目≫

  • 入力情報の完全性、正確性、正当性等が確保されているか。
  • エラーデータの修正と再処理の機能が確保されているか。
  • マスタ・データの正確性が確保されているか。
  • システムの利用に関する認証・操作範囲の限定など適切なアクセス管理がなされているか。

B過年度の評価結果を利用できる場合

 ITを利用した内部統制の評価は、ITを利用していない内部統制と同様に原則として毎期実施する必要があります。しかし、ITを利用して自動化された内部統制に関しては、一度内部統制が設定されると、変更やエラーが発生しない限り一貫して機能するという性質があるため、以下の事項を満たす場合には、その結果を記録することで、当該評価結果を継続して利用することができます。

 

≪過年度の評価結果の継続利用の要件≫

  • 自動化された内部統制が過年度に内部統制の不備が発見されずに有効に運用されていると評価された場合
  • 評価された時点から内部統制が変更されてないこと
  • 障害・エラー等の不具合が発生していないこと
  • 関連する全般統制の整備及び運用の状況を確認及び評価した結果、全般統制が有効に機能していると判断できる場合

5.ITを利用した内部統制の有効性の判断

 ITに係る全般統制に不備がある場合には、代替的又は補完的な他の内部統制により、財務報告の信頼性という目的が達成されているかを検討します。ITに係る全般統制の不備は、財務報告の重要な事項に虚偽記載が発生するリスクに直接に繋がるものではないため、直ちに重要な欠陥と評価されるものではありません。しかし、ITに係る全般統制に不備があった場合には、たとえITに係る業務処理統制が有効に機能するように整備されていたとしても、その有効な運用を継続的に維持することができない可能性があり、虚偽記載が発生するリスクが高まることになります。

 一方、ITに係る業務処理統制に不備がある場合には、業務プロセスに係る内部統制に不備がある場合と同様に、その影響度と発生可能性の評価を行います。そして、最終的に質的・金額的重要性で検討を行うことになります。

 ITに係る業務処理統制のうち、人とITが一体となって機能する統制活動に不備がある場合に、その不備の内容が、人に関する部分から生じているものなのか、それともITに関する部分から生じているものなのかを識別する必要があります。ITに関する部分から生じている場合には、同じ種類の誤りが繰り返されている可能性があるため、ITに関する部分か手作業による部分なのかで、その影響額や発生可能性の評価が異なることになります。

前へ  次へ

 

JSOXサービスへ JSOX FAQへ

 

 

 

このページの先頭へ戻る