内部統制とIT情報システムの関係：丸山満彦の「内部統制」講座（4/4 ページ）

[丸山満彦，N+I NETWORK Guide]

サーベンスオクスリー法の内部統制監査とIT情報システム

内部統制監査の結果

　COSOの内部統制は、財務報告以外の内部統制も含まれるが、サーベンスオクスリー法の内部統制監査では、監査対象が、財務報告目的の内部統制に限定される。日本企業を含む米国以外の海外企業については、まだ内部統制監査は始まっていないが、米国企業においてはすでに内部統制監査が行われており、内部統制に関する意見が出されている。

　Deloitte ＆ Touche LLPが2005年4月26日時点において、年次報告書を提出している企業2738社について、内部統制評価報告書および外部監査報告書を調査した結果、同日時点で「重要な欠陥」が開示されていた企業数は259社であり、全体の約10％であった。また、重要な欠陥の内容については、表4のとおりである。

内部統制監査の結果

　その結果を見ると、方針や手続きの不備、文書化の不備が全体の3分の1を占めていることがわかる。文書化が日本よりも進んでいると想像できる米国企業においてさえそうであるため、日本企業で同様の制度が導入された場合の影響の大きさは想像できる。情報システム部門においても、内部統制監査の対象となれば当然に方針や手続きの整備、文書化が必要となってくるだろう。

　また、米国で発行されているニュースレター「Compliance Week」5月号によると、2005年5月に開示された71個の重要な欠陥の内容は表5のとおりである。IT情報システムに関する内部統制の不備が全体の8.5％を占めていることがわかる。

2005年5月に開示された重要な欠陥の内容内訳

IT情報システムの内部統制をどこまで検証するか

　情報システム部門にとっては、内部統制監査において、どこまでIT情報システムの内部統制（全般統制）が検証されるのかが気になるところであるが、それは一概にはいえない。業務処理統制の影響度次第といえる。つまり、財務報告に関わる処理にIT情報システムがほとんど関与していない場合は、IT情報システムの全般統制はほとんど検証対象にならないといえる。しかし、実際はそのようなことはないので、情報システム部門のIT情報システムの全般統制は監査対象となりうると考えたほうがよい。

　では、どの分野が監査対象となりうるかであるが、最終的には個々の企業の状況に応じて監査人が判断することになる。しかし、一般的には、データベース、OS、ネットワークのアクセス制御、会計関連のソフトウェアの開発・リリース管理、情報システムの運用管理、情報システムの変更管理などにかかわる部分は、監査対象になると考えておいたほうがよい。このような分野については、方針や手続きを明確にしたうえで、規程や手順書として文書化しておき、必要な内部統制項目が導入されているか否かを検討することが必要となるだろう。