IT全般統制ってもっと簡略化・簡素化・明確化できない?最新のIT業界やシステムの理解が及んでいないIT統制の仕組みを変えたい!

本場アメリカにおけるSOXをほぼ模倣して日本にも導入した内部統制報告制度(日本SOX、以下J-SOX)。
むろん、模倣したのではない、内部統制報告制度は日本独自の制度であり、アメリカのSOXとは相応に異なるものである。そんな主張もありますね。

とはいえ実質的にはアメリカの制度の強制的な輸入の制度である内部統制報告制度が開始されてもう10年になろうとしていますが、10年前の環境と現在では著しく異なっているものがあります。

IT環境です。

10年の制度が作られた時のITに関する常識と現在では相当程度に異なっています。
当時は今ほどクラウドが一般的ではなかったですし、サーバーも自社で物理的なものを所有しているケースが結構ありました。

それにかかわらず、IT統制の標準的なフォーマットなどは従前のままとなっています。

このことに起因して、監査人も会社の内部監査担当も全く意味のないことをやっている可能性があります。

監査人側も昨今の品質強化の内外の様々な目線を意識するばかり、必要以上で無意味な対応を企業側に求めているケースも少なくありません。

実質的に意味のある有効な統制を構築することは企業が健全に発展していくためにはマストです。

しかし、必要以上で無意味な統制を監査人主導で企業に強いても、企業側としては不信感が増強されていくだけです。

そこで本稿では、現在のIT環境にきちんと整合した意味のある統制を提案していきたいと思っています。

IT全般統制とは?

IT全般統制とは何でしょうか?
まずは基準に記載されているガチガチの定義から初めてみましょう。
[box05 title=”IT全般統制の定義”]業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理に関係する方針と手続のうち、IT 基盤を単位として構築する内部統制
(実施基準 Ⅰ.2(6)②〔IT の統制〕ロ a)。[/box05]

これに対して、業務処理統制とは何でしょうか?
以下を参照ください。
[box05 title=”IT業務処理統制の定義”]業務を管理するシステムにおいて、承認された業務がすべて正確に 処理、記録されることを担保するために業務プロセスに組み込まれ た IT に係る内部統制⇒(実施基準 Ⅰ.2(6)②〔IT の統制〕ロ b)。[/box05]

会計監査に関連する定義って何でこうもわかりづらいのでしょうかね笑。
もっと感覚的な感じで理解するためには以下を参照ください。

IT全般統制って結局は何をしているの?

IT全般統制は大きく分けると以下の3つのことを達成するために必要なコントロールと言えます。
[box05 title=”IT全般統制の目的!”]
①自動化統制が勝手に変更されないようにする(自動化統制を守る)
②データベースを守る
③結果としてデータベースに保管されている数字を守る
[/box05]

このように、IT全般統制は統制が統制として維持されるような統制、すなわちメタ統制とも呼べるようなものなのです。

内部統制報告制度が導入された当時はこのような二つの観点が重要であるということの理解が十分になされていないこともあり、必要ではないような統制も監査法人によるテンプレートに記載されているようなこともありました。

内部統制報告制度で忘れてはいけないことは、内部統制を評価する範囲です。
JSOXの趣旨は、財務報告に関する内部統制が適切に整備・運用されているかを会社が自ら検討を行うというものです。
そのため、JSOXという制度において評価すべき内部統制の範囲は、財務報告の信頼性を担保するための内部統制に限定されるということになります。

企業は様々な目的のために様々な内部統制を構築しますが、その全部がJSOXの評価対象とはなりません。

おそらくIT統制のテンプレートなどを考えた人はこの点の理解が少し弱く、他のITに関するセキュリティ関連の資格などを参考に作成したために若干分量が多いものができてしまったのではないか、そんな気がしています。

IT全般統制の目的①_自動化統制を守る!

自動化統制を守る、とはどのようなことでしょうか。
ここでいう自動化統制というのは、業務プロセスに関する内部統制の中においては、手作業によるコントロールとシステムによって自動で統制がなされる自動化統制があります。

このうち、自動化統制は一度正確にその統制の内容がデザインされた場合は、基本的にはずっと正確に統制を機能させ続けることが可能です。

しかし、自動化統制にも欠点があります。

それは統制の内容を勝手に変えてしまうことで、自動化統制が機能しなくなってしまうことがありうるということです。

このようなリスクを排除することがIT全般統制に課せられた大きな目的となります。

IT全般統制の目的②_データベースを守る!

こちらの方は想像がつきやすいかと思います。
データベースに格納されている数字が勝手に改ざん可能となっていないとか、そのために権限のある人のみがデータベースにアクセスすることができるなど、JSOXに関する知識が特にない場合でも思いつくような統制がこちらになります。

最新のITに関連したIT全般統制をどのように構築すべきか

上述したように、IT全般統制で重要なのは、①自動化統制を守ること、②データベースを守ること、の二つであり、結果として③データベースに記録された数値等の情報が守られること、です。

そうすると、IT全般統制の中でも、これらの目標に直接は関連しないような統制については強弱をつけることが可能と考えられます。

例えば、プログラムの変更管理については自動化統制のかなめといえるので、そこはしっかりとした統制が必要でしょう。

しかし、他方で、委託業者の管理などはどうでしょうか。
確かに委託業者管理がしっかりされていないと間接的には自動化統制に影響を及ぼす可能性はありますが、直接的に自動化統制やデータベースに対して何か作用する統制ではないことも確かです。

そこで、委託業者管理については、監査法人がJSOX導入当初に用いたSOXパッケージに記載されているような厳格な統制ではなく簡易的な統制を用いて、全体としてバランスのとれた統制とすることも可能でしょう。

この辺りのさじ加減は具体的に監査法人において、ITに関する監査業務の経験のある会計士が関与することが望ましいでしょう。というのも、加減は分かったとしても同じ会計士から説得されるのとそうではないとでは、監査をする会計士にとっても受け取り方が異なるかです。

IT全般統制の見直しが得意な会計士はこちら!

IT全般統制の見直しを行って、SOX対応にかかる工数を削減することで人的リソースをシフトすることでより効果的で効率的な管理を行うことができるようになるはずです。

内部監査にかかる工数の見直しにも繋がりますし、よりリスクの高い項目や事項に対して内部監査のリソースをアサインすることが可能となります。

ぜひ、IT全般統制に詳しい公認会計士に相談してみてはいかがでしょうか。

ご連絡お待ち申し上げております!

お問い合わせ先