2008年度に日本版SOX法の適用が開始されてから10年が経過し、内部統制の一環として「IT統制」を実施する必要性への理解が進みました。しかしこの10年の間にITは確実に進歩を遂げ、これまで手作業で行われてきたIT統制をシステムで自動化することにより、統制管理リスクを低減することが可能になりました。企業の情報システム部門は今、IT統制を強化するためにどのような役割を果たせるのでしょうか。
改めてIT統制とは何か
内部統制の信頼性を担保するには、IT統制の実施が欠かせません。企業のビジネスを支えるあらゆる業務がITに強く依存している現在、内部統制の整備・運用にもITが利用されているからです。実のところ内部統制は手作業でも実施できますが、効率的かつ正確に処理するには、やはりITを利用することになります。そのITに問題があれば内部統制の信頼性を保証できなくなるため、IT統制を実施することは必要不可欠です。
ここで「IT統制とは何か」を今一度おさらいしてみましょう。金融庁企業会計審議会が策定した「財務報告に係る内部統制の評価及び監査に関する実施基準」(以下、実施基準)によると、IT統制は、「IT全社的統制」「IT全般統制」「IT業務処理統制」の3種類に区分されています。
IT全社的統制とは、連結子会社を含む企業グループ全体のITを健全に維持・監督するための内部統制を意味します。具体的には、企業グループ全体のITに関する方針やルール、体制を整備し、ITに関するリスクを評価して対応策を講じて統制活動を周知徹底させて、全社的な実施状況をモニタリングするという仕組みを構築することであり、その責任は経営者にあります。
IT全般統制とは、ITを用いた業務処理を有効に機能させる環境を整備し、信頼性を確保するための統制を指します。その基準としては「システムの開発・保守に係る管理」「システムの運用・管理」「内外からのアクセス管理等のシステムの安全性の確保」「外部委託に関する契約の管理」を評価対象の統制項目として挙げています。言い換えれば、システムそのものが健全に機能するかどうかを監査するのでなく、そのように適切に機能するための管理・体制のあり方という観点での統制といえるでしょう。
IT業務処理統制とは、承認された業務がすべて正確に処理・記録するために業務プロセスに組み込んだ内部統制を表します。情報を処理するシステムそのものではなく、処理が正確に行われているか、安全に行われているかを確認するものであり、手作業による入力確認や出力結果と伝票の照合など非ITによる業務処理統制とともに行われます。
IT統制における役割を知っておく
このようなIT統制の実施は、内部統制を担当する社内の監査部門だけでは手に負えません。監査部門は経理・総務などの間接部門や業務部門の経験者で構成され、ITに精通した人材がいないというケースが少なくありません。そもそもIT統制のノウハウがないために、監査法人の言いなりに対応することも見受けられます。
そこで情報システム部門では、監査部門からIT統制を丸投げされたり、ITの事情を知らない監査法人から要求を押し付けられたりする前に、IT統制を実施するにあたってどのような役割を果たすことができるのか、あらかじめ知っておく必要があります。
例えば、IT全社的統制の場合、ITに関する方針やルール、体制の整備に取り組む経営者の支援、リスク管理部門に対する適正なリスク評価と対応策の提案といった役割があることを認識しておきます。IT全般統制の場合、システムの導入・更新時にソフトウェアの動作の信頼性やデータの真正性をテストするのをはじめ、未承認または不正な処理の防止策を講じたり、承認者だけにアクセス権限を設定したり、ソフトウェアやデータの改ざんを未然に防ぐためにアクセス状況をモニタリングしたりといった業務が情報システム部門の役割になります。
そして、情報システム部門の役割がより期待されるものとして触れておきたいのが、IT業務処理統制です。これについては、次項で詳しく述べたいと思います。