SOX法に基づく内部統制の背景から、内部統制とIT情報システムの関係などについて考察してきた。ここでは、主に米国企業における不適正意見の実例を基に、内部統制が与える影響をIT情報システムとのかかわりの中で見ていく。
本パートでは、IT全般統制にかかわる内部統制監査の重要な欠陥について具体的な事例を検証しながら考えてみよう。
米Weis Markets社
(小売業:売上高=約2000億円)
同社は、ペンシルベニア州を中心に、大規模な食料雑貨のチェーン店を展開する企業である。
IT全般統制に関する文書化と運用状況の検証作業に対して外部監査人が内部統制監査を行う際、十分な時間が与えられるだけの余裕を持って終了することができなかった。したがって、外部監査人は監査意見の表明を差し控えた。
これは、IT全般統制の文書化が行われていなかったため、監査を時間内に終了することができず、意見が述べられなかった事例である。監査には通常、適正意見と不適正意見、その中間の限定付き適正意見があるが、同社の場合は監査自体を終了することができなかったため、監査人が意見を何も表明しない「無意見」とされた珍しいケースである。監査をするための文書がなく、検証するための項目や計画も用意できなかった。具体的には、アクセス権限やネットワークの状態やセキュリティに対する十分な検証ができなかった。
このようなケースでは、まず、さまざまなルールを決めたうえで、規程書作成などの文書化を徹底しておく必要がある。日本の企業では、まだ文書化が十分でないケースが多いだろう。そのままにしておくと、今後大きな問題が発生する可能性がある。
米Standard Motor Products社
(電子機器メーカー:売上高=約850億円)
ITに関して、2004年12月31日時点において重要な欠陥が見つかった。同社では、IT情報システムが分散環境で運用されており、この場合、各ITプラットフォームを統合して方針整備を実行するとともに、採用するビジネスソリューションやソフトウェアの開発と統一化を図る必要がある。
会計システム上のセキュリティについては、会計システムとデータへのアクセスが業務上必要な担当者のみに制限されることを確実にするため、さらなる文書化と監視が求められる。また、セキュリティのフレームワーク(パスワードの使用・設定や侵入検知、セキュリティ監視など)に関する方針と手続きについて、文書化し導入する必要がある。さらに、ITシステムは、システムに対するすべての承認された変更に対してのみ、設計・テストされ、使用されることに合理的保証を与えるように維持されてはいなかった。
これは、多様なアプリケーションに対してOSがばらばらであったり、ソフトウェアの開発がさまざまな形式で行われていることによって適格な管理がなされていないケースである。これは何も、IT情報システムにおいて複数のプラットフォームが存在すること自体を否定するものではない。ただし、プラットフォームが複数ある場合、監査人はそれぞれに対して個別にチェックしなければならないため、コストが高くなるという問題がある。また、環境が分散していると、それぞれに対する文書化の負荷も高くなり、内部統制監査に必要な作業を効率的に行えなくなってしまう。
IT情報システムの全般統制は、会計処理に対して間接的にしか影響しないため、IT情報システムの全般統制に不備があったとしても、ただちに重要な欠陥に結び付くわけではない。ただし、IT情報システムの全般統制における重大な不備が複数あると、このように重要な欠陥となる可能性がある。また、実際の会計処理ミスの原因がIT情報システムの全般統制における不備の結果であれば、IT情報システムの全般統制が重要な欠陥となってしまう。
Copyright © ITmedia, Inc. All Rights Reserved.