1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. 続・3分でわかる内部統制(後編)?内部統制とIT統制

続・3分でわかる内部統制(後編)?内部統制とIT統制

上場企業に対し、財務報告が適性に行われることを目的に内部統制の整備・運用を求めるという「日本版SOX法」。前回のインタビューでは、2009年3月期の適用開始を目前に、改めて日本版SOX法をおさらいし、その適用範囲について解説してもらいました。

今回は、日本版SOX法対応で想定される内部統制整備の手順やIT統制の重要性などについてお話をお伺いしました。 →前編はこちら

話を聞いた人:
日立システム プラットフォームソリューション本部 部長
一村政司
日立システム 内部統制ビジネス推進センタ 主任技師
長谷川守邦
日立システム 営業統括本部 主任
木村正紀


全ての業務に内部統制が必要?

―どんなに小さな業務(プロセス)でも内部統制を整備・評価しないといけないのでしょうか?
長谷川
 まず、日本版SOX法が対象とする部分と、企業における本来的な内部統制とは分けて考える必要があります。決算財務報告の内容や作成過程の正しさを求める制度が日本版SOX法です。

前編でも述べましたが、日本版SOX法の適用領域は細かくは次の5点です。

(1)全社的な内部統制
(2)決算財務報告
(3)業務プロセス統制
(4)IT業務処理統制(アプリケーション)
(5)IT全般統制(インフラ)

この中で、全社的な内部統制が最重要であり、それを踏まえて重要な虚偽記載に繋がるリスクを明確にし、対象となる業務(プロセス)を絞り込むことが可能です。

長谷川守邦
長谷川さん

―具体的には?
木村
 上記でいえば、(1)(2)は全会社が対象となります。(3)はグループ売上の3分の2から7割程度を構成する事業拠点のみが対象。(4)(5)は対象会社の中で絞り込むという形になるかと思います。

―どのような指標で絞り込むのでしょうか?
一村
 はい。まず日本版SOX法の対象となるのは全上場企業、つまり市場に株式を流通させている企業です。次に、決算財務報告は上場企業単体のみならず連結財務諸表が対象となるので、グループ企業であれば、売上を構成する全てのグループ会社が対象となるわけです。

次に、グループ会社内で絞り込む際の指標となるのは、当然、財務報告の適正性が求められているわけですから、売上、利益にかかわる業務という視点です。具体的には対象となる事業拠点における3つの勘定科目(売上、売掛金、棚卸資産)に関する業務が対象となります。

一村政司
一村さん


内部統制はどのように進めていくの?

―上場企業の多くは既に2007年頃から日本版SOX法対応に着手していると言われていますが。

長谷川 そうですね。全上場企業の法対応の進捗状況については正確には分かりませんが、実際の評価が2009年3月31日だからといって、3月期決算の企業が3月31日までに法対応を完了していればよいかというと、そうではないのですね。

というのも、本番1回の評価で「内部統制が有効に運用されている状態」になっていると判断するのは難しいからです。

―事前のテストが必要だと?
木村
 そうですね。本番の評価を行う前に予行演習を行い、必要に応じて業務を改善することが大事なのですね。

―それが内部統制のプロセスだということですね。
一村
 その通りです。内部統制のプロセスはPDCA(Plan Do Check Action)サイクルを構築することです。

・Plan=業務ルールを作る
・Do=ルール通りに仕事をする
・Check=ルール通りに仕事をしているか検証する
・Action=内部統制の課題を改善する

そういう意味では、SOX法対応の進め方は、業務プロセスの文書化、言い換えると業務プロセスを言語化し、そこに潜むリスクとリスクに対する統制を文書にしていく作業が、一番ボリュームがあるし大変だということになります。それだけに法対応の際には最初に着手することが多いですね。


SOX法対応の進め方は業務プロセスの統制から進めるパターンが多いです(画像をクリックすると拡大します)

―文書化の際のヒアリングというのは誰がやるのですか?
木村
 多くの企業では社内横断的にプロジェクトチームを作って、専任というより兼任組織で対応しているところが多いですね。

業務のルールというのは、例えば業務手続きや承認のプロセスというのは社内規程などで定めてはありますが、実際に業務プロセスの中にどんなリスクがあるかというのは可視化していないので、それを拾っていく作業は難しいのですね。

木村正紀
木村さん

―事前のテストというのはそろそろ始まる頃ですか?
一村
 そうですね。この10月から始まる下期にはテストがスタートしないといけないというスケジュールだと思います。

テストには、「整備状況テスト」と「運用状況テスト」の2種類があります。

「整備状況テスト」では、実際に部門長などの管理者が業務フローと現状が一致しているかを検討するのですね。リスクに対する統制の内容を確認し、「この上長の承認によって本当にこのリスクが低減されているのか」といった妥当性を評価していくわけです。

また、「運用状況テスト」では、監査年度を通じて、内部統制が正しく運用されていたかどうかを評価するために、実際の帳票類、証憑書類などを閲覧しながら確認します。

長谷川 テストの結果、改善すべき重大な不備があればフィードバックして業務ルールを変更します。もっとも、このあたりは大企業であれば、SOX法対応の観点ということでなく、もともと経営管理の一部分として整備してきたとも言えます。

―最終的な内部統制の整備・評価は誰が判断するのでしょう? 監査人でしょうか?
木村
 最終的には経営者が主体的に判断します。文書化やテストをする過程で、「明らかにおかしい」と自分たちで気づくところがあるはずです。そういったものは企業独自の判断で改善すればよいのです。また、不備の内容については、外部監査人とその対応方針について話しあって、改善すべきかどうか合意を得る必要があります。

監査人とはそういうところを含めて状況を報告してすりあわせを行うことが大事です。


IT統制の重要性について

―IT統制の重要性についてお聞かせ下さい。
長谷川
 IT統制は「IT全般統制」と「IT業務処理統制」に分かれます。「IT業務処理統制」は業務プロセスにかかわる部分です。個々の業務アプリケーションにおいて入力内容のチェックや、権限の分離が実装されているかといった領域ですね。

一方、IT全般統制はシステムの開発手順やセキュリティポリシー、業務アプリケーションやデータベースなどへのアクセス管理や変更管理といったインフラ全般にかかわる領域です。


IT全般統制はIT業務処理統制の基礎となります(画像をクリックすると拡大します)

―内部統制の有効性にかかわってくるわけですね。
一村
 おっしゃるとおりです。IT全般統制が適切でないと、結果的に業務上のデータの正確さが有効であると言えなくなるわけです。

木村 IT全般統制の有効性を高めることによって、内部統制全体の有効性を高めようという考え方ですね。それと、IT統制改善の大きなポイントは、より効率的に内部統制を整備・運用していくことが可能ということです。情報セキュリティの観点からもメリットが大きいですしね。

―ITインフラにPDCAサイクルを構築すると。
長谷川
 そうですね。単にシステムを開発してIT製品を導入すれば内部統制が整備されるというものではないのですね。下図はIT全般統制上の主な課題を列挙したものです。これを見ると、IT全体を見渡して、内部統制の視点で最適なシステムを導入できるようなパートナーを選ぶことが大事になってくると思います。


継続的にPDCAサイクルを回していけるようなパートナー選びが大事(画像をクリックすると拡大します)

―最後に、日立システムの内部統制に対する考え方を聞かせてください。
長谷川
 日立システムは、内部統制とは、財務会計部門の社員だけが行うものではなくて、経営陣をはじめ全社員が企業風土や業務プロセスをPDCAサイクルで改善していくプロセスであると考えています。システムインテグレータとしての豊富な実績を活用し、日本版SOX法への対応をサポートすることはもちろん、日本版SOX法をきっかけとして、継続的な内部統制の整備をお手伝いします。そのことを通じて、業務の有効性・効率性を向上することが、お客様の企業価値向上に繋がると考えています。

<参考リンク先>
日立システム 内部統制ソリューション

関連キーワード:
3
参考になったらボタンを押してね
情報セキュリティブログ10周年記念企画
  • 携帯電話に対する攻撃が高度化しているとの報告
  • カテゴリートップへ
  • 新コンテンツ「ユミコのセキュリティ研修」(【ユミ研】)がスタート!!