効率的な内部統制の実現を目指して:監査を乗り切るカギとなる、ITの有効活用(2/2 ページ)
制度に対応するためのポイント
内部統制報告書を監査法人が監査したとき、どのような例が重大な欠陥として不適正意見となるのだろうか。丸山氏は、内部統制に欠陥があると評価される例を図2のように紹介する。
「米国では1年目に16%、2年目でも7%の企業に内部統制の重大な欠陥があると報告しています」と丸山氏は米国のSOX法404条の施行状況を説明する。米国では株価総額の大きな上場企業のみが404条の規制の対象となっているが、すべての上場企業が対象となると言われている日本ではさらに高い割合で、重大な欠陥があると報告することになると考えられる。
また、日本では業務プロセスに関する文書化が十分に行われていない場合がある。規定や手順書がなくとも、比較的長期間にわたる上司と部下の関係から「あうんの呼吸」で業務が進められていることが多いからだ。制度対応のためには、ルールを決め、それに基づいて行動し、記録しなければならない。
「海外にも事業を展開する企業の場合は、明確な方針を伝え、それに基づいて行動してもらうことは重要なことです。これを機に内部統制の文書化と記録をすることの重要性を認識すべき」と丸山氏は指摘する。
内部統制の評価は、財務報告に係る内部統制の有効性を経営者が自己評価し、それを公認会計士が監査するという仕組みになっている。そこでまず大切になるのは、評価対象範囲を決めていくことである。今回の制度は、国内外を問わず連結グループ全体が評価の対象になる。また、委託先の業務プロセスも評価しなければならない場合もある。例えば、倉庫業者に出荷を委託している場合、倉庫業者が出荷した日を出荷日として正確に記録されているかを評価しなければならない。
ITによる統制の活用
会計処理とITシステムが関わらないという企業はまずないだろう。当然、ITによる内部統制も評価対象となる。IT統制には全般統制と業務処理統制がある。
ITによる業務処理統制として例えば、得意先マスターに登録されている顧客しかシステム的に受注入力できないようにしておくというのがある。信用力のない会社に、企業としての承認を受けないままに掛け売りをしないようにするためだ。
丸山氏はITに関連する内部統制の欠陥をSOX法における事例を用いて説明する。この事例は、特定の何名かに会計アプリケーションとデータに無制限のアクセス権が与えられ、さらに不適切なプログラムの使用やデータのアクセスを監視する有効なコントロールもなかったというものである。
「このケースでは連結財務諸表の記載ミスがあったわけではありません。しかし、財務諸表に記載誤りの“可能性”があれば、非有効意見となる可能性もあることです。“今まで問題なかったので大丈夫”というのは通用しないのです」と丸山氏は指摘する。
もちろん、正しく設計され、正しく運用されていれば、確実に機能してくれるのがITによるコントロールだ。システムによる単価の上書き禁止といった変更制限があれば、記載の誤りを防止する統制活動として有効だ。
大量の定型的な取引についての統制活動は、「できるかぎりITによる統制を活用すべき」と丸山氏はアドバイスする。
米国の上場企業では、SOX法導入後の課題として、同法への対応の効率化に取り組んでいるという。「日本の企業は、制度への対応をスタートする段階から、効率化を考慮すべきです」と丸山氏は指摘する。経営者評価のステップは、主に次の3つから構成される。財務報告に係る内部統制のうち、大きなリスクが存在し、それを統制する重要なキーコントロールを割り出すための「文書化」と、そのキーコントロールの「評価」、そしてすべての内部統制上の不備を判断する「経営者評価」だ。文書化は1年目に作業が集中するが、評価は毎年続く。このため、効率化のメリットがより活かされるのは後者だ。
「ITによるコントロールの場合、全般統制が有効であれば、評価に必要とするサンプルは1件にするケースが多いです。しかし、手作業によるコントロールとなると、10倍以上のサンプルを評価する必要があるかもしれません。時間とコストもそれだけ掛かります。しかも、評価は毎年実施しなければならないから、年を追うごとに負担の差は広がってしまいます」(丸山氏)
また、業務プロセスの標準化・集約化がさらに評価の負担を軽減してくれるのは言うまでもない。販売プロセスが本社と連結子会社で異なれば、やはりそれぞれにサンプルを採って評価しなければならないからだ。
ITインフラの統制(IT全般統制)が本社と連結子会社で異なる場合も、個別に評価しなければならない。CIOやシステム管理者は、開発手法の標準化、運用の標準化、変更管理の標準化を行い、規定や手順書の整備を確実に進め、システム開発時に内部統制を考えたシステム設計をすべきだと丸山氏はアドバイスする。
「IT全般統制が有効であれば、全体の評価コストは下がります。逆にIT全般統制が有効でなければ、それが重要な欠陥になり得るのです」と丸山氏は語る。内部統制への対応におけるIT活用は、今後必須のものとなっていくだろう。
このコンテンツは、Hitachi Open Middleware Report vol.37に掲載された記事を再構成したものです。
関連記事
- 日本版SOX法、実施基準を待ってどうするの?
- 中小企業に「内部統制」は人ごとなの?
- 日本版SOX施行まであと2年、米SOXで先行した日立
自社で米SOXを先行導入した日立製作所。2008年に施行開始予定の日本版SOX法に向けて、実践的なノウハウを蓄積している。 - 日立がHiRDBをバージョンアップ、SOAやコンプライアンス対応を強化
日立製作所は、SOA対応やコンプライアンス対応の強化を図ったデータベースソフトウェアの最新版「HiRDB Vertion 8」をリリースした。
関連リンク
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。