財務報告に係る内部統制(J-SOX)には、①全社的な内部統制、②決算・財務報告プロセスに係る内部統制、③業務プロセスに係る内部統制、④ITに係る内部統制があります。
そのなかでITに係る内部統制は、現在では業務の遂行に欠かせないIT(情報技術)において、その利用に関する特有のリスクに対応するための内部統制です。
この記事では、ITに係る内部統制について簡単にまとめました。
ITに係る内部統制の概要
ITを使うのにも内部統制が必要なの?
「財務報告に係る内部統制の評価及び監査の基準」(以下「内部統制基準」という)では、組織目標を達成するための基本的要素の1つとして、「ITへの対応」が挙げられています。
また、「ITへの対応」について、以下のように記されています。
ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。
企業活動や内部統制活動がITに大きく依存している現状において、財務報告の信頼性を確保するには、ITへの適切な対応への施策は不可欠となっています。
そこで、ITを取り入れた情報システムに関連する内部統制を整備・運用することが必要となります。
ITの統制目標
「財務報告に係る内部統制の評価及び監査に関する実施基準」(以下「実施基準」という)では、ITに係る内部統制の有効性を保つことで、以下の目的を達成することができるとされています。
- 準拠性:情報が関連する法令や会計基準、社内規則等に合致して処理されていること
- 信頼性:情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること(正当性、完全性、正確性)
- 可用性:情報が必要とされるときに利用可能であること
- 機密性:情報が正当な権限を有する者以外に利用されないように保護されていること
これらの統制目的を達成することにより、「全社的な内部統制」「決算・財務報告プロセスに係る内部統制」「業務プロセスに係る内部統制」の有効性の確立を支援し、財務報告の信頼性を確保します。
ITに係る内部統制の分類
ITに係る内部統制は、その役割において、以下の3つに大別されます。
- IT全社統制
- IT全般統制
- IT業務処理統制
財務諸表の信頼性に直接影響するのは日常的な業務に関わる「IT業務処理統制」です。
しかし、「IT業務処理統制」が有効に機能するには、「IT全社統制」と「IT全般統制」が有効であると評価される必要があります。
IT業務処理統制
実施基準では、IT業務処理統制について、以下のように説明しています。
ITに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制である。
業務を管理するシステムとは、会計システムや販売管理システム、購買システム、在庫管理システムなどがあります。
IT業務処理統制とは、このような業務管理システムに組み込まれた自動化された統制のことです。
「IT業務処理統制」って具体的になにをするものなの?
IT業務処理統制の例としては、以下のようなものが挙げられます。
- 入力情報の完全性、正確性、正当性等を確保する統制(例:マスタチェック、妥当性チェック、ディジットチェック)
- 例外処理(エラー)の修正と再処理(例:例外データの発見と、そのデータの修正処理)
- マスタ・データの維持管理(例:得意先マスタ、商品マスタ等の適切な情報の維持)
- システムの利用に関する認証、操作範囲の限定などアクセスの管理(例:個人別ID・パスワードによる認証)
IT全般統制
実施基準では、IT全般統制について、以下のように説明されています。
ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。
これってつまりどういうこと?
業務管理システムにおいて、IT処理がいったん正しく設定されれば、その設定が変更されない限り、正しい処理が繰り返し実行されます。
IT全般統制を整備・運用することで、プログラムに対する不正な改ざんやアクセスなどにより業務管理システムが不要に変更されないようにします。
IT全般統制は、今日も明日も明後日も、IT業務処理統制の有効性が継続する環境を提供する役割を持ちます。
また、IT全般統制において、自動化された統制を守るだけでなく、バックアップ管理など、蓄積されたデータを守ることも目的の一つです。
IT全般統制の例としては、以下のようなものが挙げられます。
- システムの開発、保守に係る管理(例:開発・保守に関する手続の策定)
- システムの運用・管理(例:運用管理、データ管理)
- 内外からのアクセス管理などシステムの安全性の確保(例:セキュリティー対策)
- 外部委託に関する契約の管理(例:外部委託先とのサービスレベルの定義)
IT全社統制
IT全社統制は、IT戦略の策定や、IT利用方針の決定など、「全社的な内部統制」の一部を構成するものです。
「全社的な内部統制」が、「決算・財務報告プロセスに係る内部統制」や「業務プロセスに係る内部統制」の基盤となるように、IT全社統制も、IT全般統制とIT業務処理統制の基盤となります。
どんな統制にしなきゃいけないの?
IT全社統制は、「全社的な内部統制」と同様に、基本的要素に対応した評価項目のうち、以下の「ITへの対応」に関する項目を参考にして整備・運用・評価されます。
- 経営者は、ITに関する適切な戦略、計画等を定めているか。
- 経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
- 経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
- ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリスクが考慮されているか。
- 経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか。
ITに係る内部統制の評価
ITに係る内部統制の評価では、まず評価対象となるシステムを絞り込み、それに関連するIT基盤を把握する必要があります。
そのうえで、IT全般統制とIT業務処理統制の両方を評価します。
評価対象となるシステムの範囲
「業務プロセスに係る内部統制」において、評価対象となった業務プロセスの文書化によって、ITを利用したコントロール(=IT業務処理統制)が洗い出されます。
このコントロールを実施している業務管理システムが、財務報告に係る内部統制に関連するシステムとして認識されます。
IT基盤の把握
上記で認識したシステムを支援するIT基盤について、以下のような項目を把握します。
- ITに関与する組織の構成
- ITに関する規程、手順書等
- ハードウェアの構成
- 基本ソフトウェアの構成
- ネットワークの構成
- 外部委託の状況
IT全般統制の評価
IT業務処理統制の評価は個々のシステム毎に実施しますが、IT全般統制の評価では、IT基盤の概要を把握したうえで、システム部門やユーザー部門、子会社、外部委託先などの評価単位を識別し、評価を実施します。
どんなことを評価するの?
IT全般統制では、整備状況および運用状況において、前述と同様に以下のような項目をチェックリストなどを用いて評価します。
- システムの開発、保守に係る管理
- システムの運用・管理
- 内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
なお、運用状況評価について、次の要件を満たす場合は、前年度の評価結果を利用できます。
- 財務報告の信頼性に特に重要な影響を及ぼす項目ではないこと
- 前年度の評価結果が有効であること
- 前年度の整備状況から重要な変更がないこと
IT業務処理統制の評価
IT業務処理統制は、業務プロセスに係る内部統制のうち、ITを利用した統制という位置付けになります。
そのため、基本的には業務プロセスに係る内部統制の評価と連動して実施します。
整備状況の評価ではウォークスルーを実施し、運用状況の評価では運用テストを行います。
IT業務処理統制では、整備状況および運用状況において、前述と同様に以下のような項目を評価します。
- 入力情報の完全性、正確性、正当性等を確保する統制
- 例外処理(エラー)の修正と再処理
- マスタ・データの維持管理
- システムの利用に関する認証、操作範囲の限定などアクセスの管理
なお、運用状況において過去に有効と評価された場合、次の要件を満たす場合は、過年度の評価結果を利用できます。
- 有効と評価された時点から整備状況の変更がないこと
- 障害・エラー等の不具合が発生していないこと
- IT全般統制が有効であること
EUC(End User Computing)の概要
EUC(End User Computing)とは、業務を行う者が、システム部門に依存せず、自らがデータ処理を行うシステムの構築・運用・管理に携わる形態のことをいいます。
EUCにはどんなものがあるの?
一般的によく見られる例は、スプレッドシートの利用です。
スプレッドシートは、業務管理システムと比べて、ユーザーによって柔軟・手軽に利用できる半面、管理レベルが低くなりがちです。
そのため、一般的なIT全般統制の適用では、不正・誤謬による虚偽記載が発生するリスクに適切に対応するには難しい点があります。
スプレッドシートを財務報告に係る業務に利用する際には、以下のような対策を講じておく必要があります。
- アクセス統制
- 仕様や手順等の文書化
- ロジック検査
- 構築と作業に係る職務分掌
- 変更統制
- バックアップ
- インプット統制