6つの事例に見る内部統制が与える影響：丸山満彦の「内部統制」講座（1/3 ページ）

SOX法に基づく内部統制の背景から、内部統制とIT情報システムの関係などについて考察してきた。ここでは、主に米国企業における不適正意見の実例を基に、内部統制が与える影響をIT情報システムとのかかわりの中で見ていく。

[丸山満彦，N+I NETWORK Guide]

　本パートでは、IT全般統制にかかわる内部統制監査の重要な欠陥について具体的な事例を検証しながら考えてみよう。

IT全般統制の文書化が行われていなかったために監査が終了できず、「無意見」となった例

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　これは、IT全般統制の文書化が行われていなかったため、監査を時間内に終了することができず、意見が述べられなかった事例である。監査には通常、適正意見と不適正意見、その中間の限定付き適正意見があるが、同社の場合は監査自体を終了することができなかったため、監査人が意見を何も表明しない「無意見」とされた珍しいケースである。監査をするための文書がなく、検証するための項目や計画も用意できなかった。具体的には、アクセス権限やネットワークの状態やセキュリティに対する十分な検証ができなかった。

　このようなケースでは、まず、さまざまなルールを決めたうえで、規程書作成などの文書化を徹底しておく必要がある。日本の企業では、まだ文書化が十分でないケースが多いだろう。そのままにしておくと、今後大きな問題が発生する可能性がある。

複数のIT内部統制の不備の結果、重要な欠陥となった事例

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　これは、多様なアプリケーションに対してOSがばらばらであったり、ソフトウェアの開発がさまざまな形式で行われていることによって適格な管理がなされていないケースである。これは何も、IT情報システムにおいて複数のプラットフォームが存在すること自体を否定するものではない。ただし、プラットフォームが複数ある場合、監査人はそれぞれに対して個別にチェックしなければならないため、コストが高くなるという問題がある。また、環境が分散していると、それぞれに対する文書化の負荷も高くなり、内部統制監査に必要な作業を効率的に行えなくなってしまう。

　IT情報システムの全般統制は、会計処理に対して間接的にしか影響しないため、IT情報システムの全般統制に不備があったとしても、ただちに重要な欠陥に結び付くわけではない。ただし、IT情報システムの全般統制における重大な不備が複数あると、このように重要な欠陥となる可能性がある。また、実際の会計処理ミスの原因がIT情報システムの全般統制における不備の結果であれば、IT情報システムの全般統制が重要な欠陥となってしまう。