全社的な内部統制の整備・運用において、実施基準では、6つの基本的要素に対応した42の評価項目を例として挙げています。
この記事では、その42の評価項目にうち、基本的要素のひとつ「ITへの対応」に該当する項目に注目し、全社的な内部統制の整備・運用のポイントを簡単にまとめました。
※内部統制基準=「財務報告に係る内部統制の評価及び監査の基準」
※実施基準=「財務報告に係る内部統制の評価及び監査に関する実施基準」
基本的要素「ITへの対応」とは
内部統制基準では、内部統制の基本的要素「ITへの対応」について、以下のように記載されています。
ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいう。
ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。
日本の内部統制の基本的枠組みは、米国のCOSOの内部統制フレームワークを参考にしています。
しかし、基本的要素「ITへの対応」は、COSOの内部統制フレームワークにはない要素です。
IT環境の企業活動への影響拡大によって、IT技術なくして業務を遂行することが困難になってきています。
しかし、日本は国際的に比してIT利用の浸透度やITに関する統制が必ずしも十分ではないのではないかとの見地から、ITへの対応を重視し、基本的要素に追加されています。
なお、ITへの対応は、「IT環境への対応」と「ITの利用及び統制」からなります。
IT環境への対応
内部統制基準では、まず「IT環境」について、以下のように定義しています。
IT環境とは、組織が活動する上で必然的に関わる内外のITの利用状況のことであり、社会及び市場におけるITの浸透度、組織が行う取引等におけるITの利用状況、及び組織が選択的に依拠している一連の情報システムの状況等をいう。
組織目標を達成するためにITを適切に活用するには、組織を取り巻くIT環境に対してどのように対応するのか、その検討が必要です。
実施基準では、個々の組織を取り巻くIT環境の具体例として、以下の項目を挙げています。
- 社会及び市場におけるITの浸透度
- 組織が行う取引等におけるITの利用状況
- 組織が選択的に依拠している一連の情報システムの状況(情報システムに依拠しているかどうか、依拠している場合にどのような情報システムに依拠しているか等)
- ITを利用した情報システムの安定度
- ITに係る外部委託の状況
ITの利用及び統制
内部統制基準では、「ITの利用及び統制」について、以下のように定義しています。
ITの利用及び統制とは、組織内において、内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること、並びに組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させることをいう。
ITの利用及び統制は、ITを業務プロセス等に組み込んで利用している組織において問題にされます。
実施基準では、ITの利用及び統制については、「ITの利用」と「ITの統制」に分けて説明されています。
ITの利用
ITを利用することによって、より有効かつ効率的な内部統制の構築が可能になります。
ただし、ITを高度に取り入れた情報システムは、稼働後の大幅な手続の修正が難しい場合があります。
なお、内部統制にITを利用しないからといって直ちに内部統制の不備となるわけではなく、業種や業態、業務プロセス等によっては、手作業による統制が適している場合もあります。
統制環境の有効性を確保するためのITの利用
実施基準では、統制環境のうちITに関連する事項を以下のように例示しています。
- 経営者のITに対する関心、考え方
- ITに関する戦略、計画、予算等の策定及び体制の整備
- 組織の構成員のITに関する基本的な知識や活用する能力
- ITに係る教育、研修に関する方針
ITの利用の例としては、電子メールやイントラネットにより、経営者の意向、組織の基本的方針や決定事項等について組織の適切な者への適時伝達などがあります。
リスクの評価と対応の有効性を確保するためのITの利用
組織内外の事象を認識する手段として、またリスク情報を共有する手段としてITを利用し、内部統制の整備を促進することが可能です。
ITの利用の例としては、売掛債権の発生や回収を適時に把握し、リスクが適切な者の間で共有されているかを分析し、その結果に基づいて、リスク情報の共有範囲の見直し等があります。
統制活動の有効性を確保するためのITの利用
業務プロセスにITを組み込むことにより、統制活動を自動化することができます。
ただし、プログラム等の不正な改ざん等の予防・発見のための措置を講じておく必要があります。
ITの利用の例としては、生産管理システムに棚卸の検証プログラムを組み込むことによる帳簿在庫と実在庫の差の把握等があります。
情報と伝達の有効性を確保するためのITの利用
情報伝達の手段にITを利用することにより、組織内外への情報共有をスピーディかつスムーズに行うことができます。
ただし、外部からの不正アクセス等の防止措置を講じておく必要があります。
ITの利用の例としては、ITを利用した情報システムにおいて、必要な承認や作業が期日中に未実施の場合の、担当者へのリマインド通知等があります。
モニタリングの有効性を確保するためのITの利用
日常の業務活動を管理するシステムにITを組み込むことにより、監視活動をより網羅的に実施し、独立的評価の作業負荷を低くすることができます。
ITの統制
実施基準では、「ITの統制」について、以下のように定義しています。
ITの統制とは、ITを取り入れた情報システムに関する統制であり、自動化された統制を中心とするが、しばしば、手作業による統制が含まれる。
組織目標を達成するためのITの統制目標
ITの統制目標とは、ITの統制を有効なものにするために経営者が設定する目標のことをいいます。
実施基準では、ITの統制目標として、以下のものを例示しています。
- 準拠性:情報が関連する法令や会計基準、社内規則等に合致して処理されていること
- 信頼性:情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること(正当性、完全性、正確性)
- 可用性:情報が必要とされるときに利用可能であること
- 機密性:情報が正当な権限を有する者以外に利用されないように保護されていること
また、財務報告の信頼性を確保するためのITの統制は、会計上の取引記録において、以下の質を担保するために実施されます。
- 正当性:取引が組織の意思・意図にそって承認され、行われること
- 完全性:記録した取引に漏れ、重複がないこと
- 正確性:発生した取引が財務や科目分類などの主要なデータ項目に正しく記録されること
ITの統制の構築
ITの統制には、「全般統制」と「業務処理統制」があります。
ITに係る業務処理統制
ITに係る業務処理統制とは、業務プロセスで利用されるITシステム等に組み込まれた内部統制のことです。
実施基準では、ITに係る業務処理統制の具体例として、以下の項目が挙げられています。
- 入力情報の完全性、正確性、正当性等を確保する統制
- 例外処理(エラー)の修正と再処理
- マスタ・データの維持管理
- システムの利用に関する認証、操作範囲の限定などアクセスの管理
ITに係る全般統制
ITに係る全般統制は、前述の「ITに係る業務処理統制」において、継続的な有効性を保つための環境を整えるものです。
実施基準では、ITに係る全般統制の具体例として、以下の項目を挙げています。
- システムの開発、保守に係る管理
- システムの運用・管理
- 内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
財務報告に係る全社的な内部統制に関する評価項目の例 ―ITへの対応―
実施基準で示されている全社的な内部統制の評価項目例42項目のうち、38~42項目はITへの対応についてのものです。
それぞれの項目について、整備・運用のポイントを簡単にまとめました。
38.経営者は、ITに関する適切な戦略、計画等を定めているか。
<整備するもの>
取締役会規程、予算管理規程 等
中期経営計画や年次予算計画において、ITに関する戦略を策定している
<運用の証憑>
ITに関する戦略を含めた中期経営計画や年次予算計画について協議・承認した取締役会議事録・経営会議議事録 等
39.経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
<整備するもの>
内部統制規程、情報システム管理規程、システム構成図 等
組織内のITシステムに関する組織体制やハードウェア・ソフトウェア、ネットワーク構成等の整備状況を把握および文書化し、また、ITに関わる人材の教育研修を規定している
<運用の証憑>
定期的に見直しされているシステム構成図 等
40.経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
<整備するもの>
内部統制規程、情報システム管理規程、予算管理規程、3点セット 等
ITを利用した統制を内部統制機能に組み込む範囲を適切に判断している
<運用の証憑>
IT戦略を含めた中期経営計画書、システム導入計画書 等
41.ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリスクが考慮されているか。
<整備するもの>
内部統制規程、情報システム管理規程、リスク管理委員会 等
新たなITシステムを導入する際に、ITシステムの利用に関連するリスクをリスク管理委員会等で検討している
<運用の証憑>
リスク管理委員会議事録、システム要件定義書 等
42.経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか。
<整備するもの>
内部統制規程、情報セキュリティ規程、情報システム管理規程 等
セキュリティ方針やシステム更新手続、システム利用・管理方針、バックアップ方針等を規定している
<運用の証憑>
規程やマニュアル等において方針及び手続が定期的に見直されている証跡、内部監査報告書 等
IT全社統制との関連性
IT全社統制とは、IT全般統制やIT業務処理統制のような自動化された統制というよりは、企業や連結グループ全体にわたるITに関わる計画や組織体制等、IT環境を戦略的に整備することを指しています。
IT全社統制は「全社的な内部統制」の一環であるため、内部統制評価においても、上記の「財務報告に係る全社的な内部統制に関する評価項目」を参考にチェックリスト等を作成し、その有効性を判断します。
IT全社統制に不備があった場合、「全社的な内部統制」と同様に直ちに「開示すべき重要な不備」となるわけではありません。
しかし、IT全社統制は、業務プロセスに関わるIT全般統制やIT業務処理統制の根幹を支えるものであるため、その不備が財務報告の信頼性にどのような影響を与えるか、慎重に検討しなければなりません。