評価対象は「己」が決める：J-SOX法対策の死角となるか？ IT統制の標的 第2回

金融庁企業会計審議会が11月に公表した内部統制の実施基準案（公開草案）により、「姿」が浮き彫りになりつつある内部統制。一体だれが評価するのか。またその範囲は……。

[アイティセレクト編集部]

内部統制の2側面

　「内部統制」において、上場会社各社が2009年3月期から自社で作成しなければならなくなる内部統制報告書には、「財務報告に係る内部統制は有効」と書かなければならなくなる。そう書けないのであれば、内部統制は有効でないことになる。

　「内部統制が有効かどうか」を報告書に書くのは、当該会社自身だ。監査法人がそれを判断して報告書に記載するのではない。監査法人はあくまでも報告書を監査するだけで、その内容が正しければ「適正に表示されている」と記す。つまり、当該会社は自身で自社の内部統制を評価し、その有効性を判断しなければならないのである。

　では、自身で自社の何を評価しなければならないのか。既に至るところで解説されているように、内部統制の評価範囲は2つに大別できる。1つは全社（子会社を含む）共通の内部統制。つまり、ガバナンスである。もう1つは、業務プロセスを見るものである。

　業務プロセスの側面では、幾つかある中で決算・財務報告プロセス――つまり、経理部門が決算を作成するプロセス（システムでいえば会計システムなど）――が重視されている。というのは、04年度からSOX法が適用されている米国において、この部分に非常に多くの問題を抱えているからだ。そのため、J-SOX法はそのプロセスへの評価を重要視するものとなっている。

　また、「企業の事業目的に大きく関わる勘定科目（例えば、一般的な事業会社の場合、原則として、売上、売掛金及び棚卸資産）に至る業務プロセス」（※）も厳しく見る。従って、それぞれの業務に対応するITシステムやアプリケーションシステムも当然、対象になる。

ITのプロセスでの2側面

　監査法人トーマツのトーマツ企業リスク研究所所長である久保惠一氏によると、そうした業務プロセスの範囲の選定は、当該会社が自社の中でリスクの高い部分を識別し、対象となる業務プロセスを決めることから始める（もちろん、決算・財務報告プロセスは必須となる）。つまり、誤った決算を導き出す可能性がある業務プロセスはすべて含まれるということだ。「これが内部統制の趣旨」（久保氏）なのである。

　その選定では、監査法人と協議・相談することも指示されている。これは、当該会社と監査法人が協力する上で最大のポイントとなるだろう。なぜなら、その範囲が広ければ当該会社の負荷は大きくなり、狭ければ統制の作業は楽になるからだ。

　要するに、対象となる業務プロセスを選ぶに当たっては「決算・財務報告プロセスは必ず含む。ほかは基本的に、（当該会社自身で）判断しなければならない」（久保氏）ということである。

　また、ITのプロセスには、個々のITを使うに当たって求められる統制（ITに係る業務処理統制）と、それらの基盤になるインフラとしてのITへの統制（ITに係る全般統制）の2側面がある。後者のIT全般統制とは一般的に、戦略や組織がかかわる全社的なものを指し、具体的にはシステムの開発・運用、セキュリティとなる。

　仮に、当該会社において購買プロセスが内部統制の対象になっておらず、アウトソーシング先のデータセンターを購買業務にしか使っていないとすると、そのデータセンターのIT全般統制は内部統制報告書に盛り込む必要はないことになる。しかしながら、評価範囲に含まれる業務プロセスに対応するITシステムがアウトソーシング先のデータセンターにあれば、そのデータセンターのIT全般統制も対象になる（下図参照）。つまり、アウトソーシング先のデータセンターがあるからそのデータセンターのIT全般統制も対象になるわけではないということを、知っておく必要がある（「月刊アイティセレクト」1月号の特集「J-SOX対策の死角となるか？　IT統制の標的」より）。

評価範囲の決定と財務諸表監査の概要図

＊本稿では、内部統制を日本版SOX（J-SOX）法により課される部分を中心として考える。2006年5月施行の会社法や各金融商品取引所（現行の証券取引所）が定める規則（上場基準など）に従う部分は基本的に考慮に入れていない。ちなみに、J-SOX法とは6月に公布された「金融商品取引法」の一部を指す（12月1日の記事参照）。

＊本稿は、可能な限り最新情報を盛り込んでいるものの、基本的に2006年11月15日時点の情報に基づく。

※　「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」の「�U財務報告に係る内部統制の評価及び報告」から引用。