日本版SOX法の実施基準に対応するポイントは？：IT担当者のための内部統制ガイド（6）（2/3 ページ）

[鍋野 敬一郎，＠IT]

「実施基準案」におけるITへの言及について

　前述したとおり、「実施基準案」の7分の1はITに言及しています。

　各部ごとにITに言及しているところを抜粋してみましたので、読者の皆さんが「実施基準案」を読み解くうえで、参考になればと思います（図2〜図11）。

　なお、赤字部分は修正版で変更された部分です。

実施基準（公開草案）について

内部統制の実施基準とは？

　実施基準とは、日本版SOX法に対応する際に必要になる内部統制報告書を作成・評価・監査する際の指針（ガイドライン）となる「基準案（正式名は「財務報告に係る内部統制の評価及び監査の基準案」）」の内容を、実務支援のために、より詳細に説明した文書のこと。

• 2006年11月21日に基準案（草案）が公開された。
• 2007年1月31日の部会において、草案に対するパブリックコメントとコメントに対する考え方が協議され、その修正版が公開された。この内容が正式版として2月中に登場する予定。

草案は全89ページ（3部構成）：ITへの言及が7分の1にも及ぶ

I. 内部統制の基本的枠組み

（→内部統制全般、内部統制の考え方について言及）

II. 財務報告に係る内部統制の評価及び報告

（→財務報告の信頼性に係る整備、評価と報告について言及）

III. 財務報告に係る内部統制の監査

（→財務報告の信頼性に係る監査について言及）

実施基準（公開草案）より「I. 内部統制の基本的枠組み」

内部統制の基本的要素

I-2-（6）IT（情報技術）への対応（草案15〜21項、修正版14〜20項）

1. IT環境への対応：具体例として以下の5点が例示されている

• イ. 会社及び市場におけるITの利用状況
• ロ. 組織が行う取引等におけるITの利用状況
• ハ. 組織が選択的に依拠している一連の情報システムの状況（情報システムに依拠しているかどうか、依拠している場合にはどのような情報システムに依拠している等）
• ニ. ITを利用した情報システムの安定度
• ホ. ITに係る外部委託の状況

2. ITの利用及び統制「ITの利用」：具体例として以下の5点が例示されている

• イ. 統制環境の有効性を確保するためのITの利用
• ロ. リスク評価と対応の有効性を確保するためのITの利用
• ハ. 統制活動の有効性を確保するためのITの利用
• ニ. 情報と伝達の有効性を確保するためのITの利用
• ホ. モニタリングの有効性を確保するためのITの利用

3. ITの利用及び統制「ITの利用」：具体例として以下の2点が例示されている

• イ. 組織目標を達成するためのIT統制目標
  （有効性及び効率性、準拠性、信頼性、可用性、機密性）
• ロ. IT統制の構築
  （ITに係る全般統制、ITに係る業務処理統制）

実施基準（公開草案）より「II. 財務報告に係る内部統制の評価及び報告」

財務報告に係る内部統制の評価の方法

II-3-（3） 業務プロセスの係る内部統制の評価（草案16〜22項、修正版44〜49項）

1. 業務プロセスに係る内部統制の運用状況の有効性の評価：

ニ. 評価の実施方法の決定に関する留意事項

a. 内部統制の形態・特徴等

「ITを利用した内部統制は一貫とした処理を反復継続するため、その整備状況が有効であると評価された場合には、ITに係る全般統制の有効性を前提に、人手による内部統制よりも、例えばサンプル件数を減らし、サンプルの対象期間を短くするなど、一般に運用状況の評価作業を減らすことができる。」

2. ITを利用した内部統制の評価：

イ. ITを利用した内部統制の評価

「ITの統制は、全般統制と業務処理統制に分けられるが、経営者はこの両者を評価する必要がある」

ロ. 評価範囲の決定

a. 業務プロセスとシステムの範囲

「財務報告に係るITの評価では、まず、財務報告に係る内部統制に関連するシステムの対象範囲を明確にする必要がある」→2. 20項に業務の流れ図（例）PFCが例示

b. IT基盤の把握：IT基盤の概要を把握する

「・ITに関与する組織の構成、・ITに関する規定、手順書等、・ハードウェアの構成、・基本ソフトウェアの構成、・ネットワークの構成、・外部委託の状況」などが例示されている

ハ. 評価単位の識別

「ITに係る業務処理統制の評価は、基本的には個々のシステム毎に行う必要があり、経営者は、必要に応じ流れ図等を利用して、各システムにおける業務処理統制を識別する。」

ニ. ITを利用した内部統制の整備状況及び運用状況の有効性評価

a. ITに係る全般統制の評価

b. ITに係る業務処理統制の評価

c. 過年度の評価結果を利用できる場合

「経営者は、自動化された内部統制が過年度に内部統制の不備が発見されずに有効に運用されていると評価された場合、評価された時点から内部統制が変更されていないこと、障害・エラー等の不具合が発生していないこと、及び関連する全般統制の整備及び運用の状況を確認及び評価した結果、全般統制が有効に機能していると判断できる場合には、その結果を記録することで、当該評価結果を継続して利用することができる。」

財務報告に係る内部統制の評価の方法

II-3-（4） 内部統制の有効性の判断（草案22〜24項、修正版49〜52項）

1. 全社的な内部統制の有効性の判断

ハ. 全社的な内部統制に不備がある場合

d.財務報告に係るITに関する内部統制に不備があり、それが改善されずに放置されている。

2. ITに係る内部統制の有効性の判断：

イ. ITに係る全般統制に不備がある場合

「ITに係る全般統制に不備があった場合には、たとえITに係る業務処理統制が有効に機能するように整備されていたとしても、その有効な運用を継続的に維持することができない可能性があり、虚偽記載が発生するリスクが高まることとなる。」

ロ. ITに係る業務処理統制に不備がある場合

「ITに係る業務処理統制のうち、人とITが一体となって機能する統制活動に不備がある場合に、経営者は、その不備の内容が、人に関する部分から生じているものなのか、それともITに関する部分から生じているものなのかを識別する必要がある。ITに関する部分から生じている場合には、同じ種類の誤りが繰り返されている可能性があることに留意する。」

実施基準（公開草案）より「III. 財務報告に係る内部統制の監査」

内部統制監査の実施

III-4-（2） 業務プロセスに係る内部統制評価の検討（草案9〜18項、修正版69〜78項）

1. 業務プロセスに係る内部統制の評価の検討

ロ. 業務プロセスに係る内部統制の運用状況の検討

a. 運用状況の検討の内容及び実施方法

「監査人自ら選択したサンプルを用いた試査により適切な証拠を入手する方法で行われる（例えば、日常反復継続する取引について、統計上の正規分布を前提とすると、90％の信頼度を得るには、評価対象となる統制上の要点ごとに少なくとも25件のサンプルが必要になる。）」

4-（2）業務プロセスに係る内部統制評価の検討（III. 9〜18項）

2. ITを利用した内部統制の評価の検討

イ. ITを利用した内部統制の把握

「監査人は、企業が業務プロセスにITを利用している場合において、人手を利用した統制が行われている部分については、前述の「1. 業務プロセスに係る内部統制の評価の検討」を実施し、ITを利用した統制が行われている部分については、以下のITに係る全般統制及び業務処理統制の評価の検証を行うことにより、業務プロセスに係る経営者の評価の妥当性の検証を行う。」

ロ. ITに係る全般統制の評価の検討

a. システムの開発、変更・保守

「監査人は、企業が財務報告に関連して、新たにシステム、ソフトウェアを開発、調達又は変更する場合、承認及び導入前の試験が適切に行われているか確認する。」

b. システムの運用・管理

「監査人は、財務報告に係るシステムの運用・管理の有効性を確認する。その際、例えば、以下の点に留意する。・システムを構成する重要なデータやソフトウェアについて、障害や故障等によるデータ消失等に備え、その内容を保存し、迅速な復旧を図るための対策が採られていること、・システム、ソフトウェアの障害や故障等が発生した場合、障害や故障等の状況の把握、分析、解決等の対応が適切に行われていること。」

c. システムの安全性の確保

「監査人は、企業がデータ、システム、ソフトウェア等の不正使用、改竄、破壊等を防止するために、財務報告に係る内部統制に関連するシステム、ソフトウェア等について、適切なアクセス管理等の方針を定めているか確認する。」

d. 外部委託に関する契約の管理

「企業が財務報告に関連して、ITに係る業務を外部委託している場合、監査人は、企業が適切に外部委託に関する契約の管理を行っているか検討する。」

上記a.〜d.に関しては、財務諸表監査の実施過程において一定の監査証拠を入手しているのが一般的と考えられ、その場合には、その利用が可能であることに留意する。なお、販売されているパッケージ・ソフトウェアをそのまま利用するような比較的簡易なシステムを有する企業の場合には、ITに係る全般統制に重点を置く必要があることに留意する。

ハ. ITに係る業務処理等性の評価の検討

a. 「監査人は、システム設計書等を閲覧することにより、企業の意図した会計処理が行われるシステム作成されていることを確認する。」

b. 「b. その際、監査人は、「2 財務報告に係る内部統制の評価及び報告」3.（3）に記載されている、例えば、以下のような評価項目について留意する。

• 入力情報の完全性、正確性、正当性等を確保するための手段が取られているか。
• エラーデータの修正と再処理が適切に行われているか。
• 仕入先、販売先等のマスタ・データの維持管理が適切に行われているか。
• システムの利用に関する認証・操作範囲の限定など適切なアクセスの管理がなされているか。

c. 監査人は、業務処理統制の運用状況について確認を実施する。

「監査人は、上記イ. により入手した記録等の閲覧、適切な管理者又は担当者に対する質問等により、業務処理統制の実施状況及び自己点検の状況を検討する。」

「ITを利用した内部統制は一貫した処理を反復継続するため、その整備状況が有効であると評価された場合には、ITに係る全般統制の有効性を前提に、監査人においても、人手による内部統制よりも、例えば、サンプル数を減らし、サンプルの対象期間を短くするなど、一般に運用状況の検討作業を減らすことができる。」

また、ITを利用して自動化された内部統制については、過年度の検討結果を考慮し、検討した時点から内部統制が変更されていないこと、障害・エラー等の不具合が発生していないこと、及び関連する全般統制の整備及び運用の状況を検討した結果、全般統制が有効に機能していると判断できる場合には、その結果を記録することで、当該検討結果を継続して利用することができる。

上記については、財務諸表監査の実施過程において一定の監査証拠を入手しているのが一般的と考えられ、その場合には、その利用が可能であることに留意する。

ニ. ITの専門家の利用

「監査人は、監査計画の策定及び内部統制監査の実施に際して、企業のITの利用状況及びITが財務報告に係る内部統制の有効性の評価に及ぼす影響を検討して、専門家の業務を利用するか否かの判断を行わなければならない。」

3. 委託業務の評価の検討

　監査人は、経営者が外部の受託会社に対して委託した業務が、評価対象となる業務プロセスの一部を構成している場合には、当該委託業務に監視、例えば、以下のとおり、内部統制の有効性を検討する。

• イ. 委託業務に係る内部統制について、受託会社が実施している内部統制及び、受託会社が提供している業務に対し、企業が実施している内部統制を理解する。
• ロ. 受託会社の業務に対し企業が自ら内部統制を実施している場合には、経営者の行った検証の状況を確認する。
• ハ. 委託業務について受託会社が実施した内部統制の整備及び運用状況に関する確認の結果を記載した報告書等を企業が受託会社から入手している場合には、当該報告書等が十分な証拠を提出しているかどうか検討する。

4. 業務プロセスに係る内部統制の不備の検討

ニ. ITを利用した内部統制に係るIT全般統制の不備の取り扱い

　ITを利用した内部統制に係るITの全般統制は、ITに係る業務処理統制が有効に機能する環境を保証するための統制活動であり、仮に、全般統制に不備があった場合には、たとえ業務処理統制が有効に整備されていたとしても、その有効な運用を継続的に維持することができない可能性がある。したがって、全般統制に不備が発見された場合には、それをすみやかに改善することが求められる。

　しかしながら、ITに係る全般統制の不備は、それ自体が財務報告の重要な事項に虚偽記載が発生するリスクに必ずしも直接に繋がるものではないため、業務処理統制が現に有効に機能していることが検証できているのであれば、全般統制の不備をもって直ちに重要な欠陥と評価されるもとではないことに留意する。