6つの事例に見る内部統制が与える影響：丸山満彦の「内部統制」講座（2/3 ページ）

[丸山満彦，N+I NETWORK Guide]

米AVX社
（電子機器メーカー：売上高＝約850億円）
　同社は、半導体関連の製品を開発・販売する企業である。2005年3月31日時点で、同社は会計関係のアプリケーションプログラムとデータに対する有効なコントロールを維持していなかった。
　特に、特定の何名かは他者が代行できない業務を行っており、その職務上の責任に必要な権限を超えて、会計関係のアプリケーションプログラムとデータに無制限のアクセス権を与えられていた。さらに、ユーザーが不適切なプログラムの使用およびデータのアクセスをモニタリングする有効なコントロールもなかった。
　この統制上の不備は、同社の連結財務諸表の記載ミスを引き起こしているわけではなかったが、年次および四半期の財務諸表に、防止または発見されない重大な記載ミスにつながる可能性のあるものである。したがって、同社のマネジメントは、この統制上の不備は重要な欠陥を構成すると判断した。

　これは、会計処理に関連するプログラムおよびデータに対するIT統制の不備が多数存在する場合は、結果的に財務諸表が適正であったとしても、内部統制上の重要な欠陥となってしまった例である。特に、会計データにかかわるアクセス制御や、プログラムの開発・保守、バッチ処理統制といった運用、さらに、それらのモニタリングという統制活動は、内部統制監査における重要なポイントとなることを留意しておくべきであろう。

そのほかの事例

米Sauer-Danfoss社
（自動車部品製造メーカー：売上高＝約1000億円）
　同社では、システム変更、プロジェクトおよび障害管理の不足、情報セキュリティ、システム運用、アプリケーション開発およびシステム管理の4者間の職務分離が不足していた。さらに、システム管理と設定周辺において、適切な情報セキュリティ管理を含むIT領域の中にも不備が発見された。

　システム変更を行うことによって、たとえば会計処理におけるバッチ処理やオンラインでのデータ変更が適正に行われなくなる可能性がある。したがってシステム変更は、そうした処理にも障害が発生しないよう、十分に検証したうえで行わなければならない。

　日本でも上場企業においては、財務諸表監査の一環としてシステム監査が行われていることが多い。具体的には、運用、アクセス権限などのセキュリティ、障害、保守の管理などに対する監査が実施されている。

　従来は、会計監査の結果に問題がなければ、IT情報システム自体に対する監査は比較的緩やかであった。しかし今後の内部統制監査においては、結果だけでなくプロセス自体も監査の対象となるため、監査が必要な項目数も増えていくるだろう。「動いていればよい」のではなく、「動いていることを説明できなければならない」ということをよく理解しておくべきだろう。

米Tecumseh Products社
（産業機械製造：売上高＝約2000億円）
　同社は、いくつかのシステムのアクセスコントロールに関する職務分掌および、多くの拠点の売掛金と売上、棚卸資産、売上原価および買掛金に影響を与えるユーザーのアクセス権の設定について、有効な内部統制を維持していなかった。

米Sourcecorp社
（ビジネスサービス：売上高＝約400億円）
　IT環境、特に請求書発行と売上計上に関するプログラムにおいて、変更管理コントロールが適正に行われていなかった。