内部統制の文書化をめぐる大きな誤解(5) - 会計・経理全般 - 専門家プロファイル

原 幹
株式会社クレタ・アソシエイツ 
東京都
公認会計士

注目の専門家コラムランキングRSS

対象:会計・経理

高橋 昌也
高橋 昌也
(税理士)
高橋 昌也
(税理士)

閲覧数順 2017年10月17日更新

専門家の皆様へ 専門家プロファイルでは、さまざまなジャンルの専門家を募集しています。
出展をご検討の方はお気軽にご請求ください。

内部統制の文書化をめぐる大きな誤解(5)

- good

  1. 法人・ビジネス
  2. 会計・経理
  3. 会計・経理全般
内部統制 内部統制ブームって結局なんだったの

「IT統制の不備は重要な欠陥につながる」?



前回は、財務報告リスクに関する誤解として
・なんでもかんでもリスクとすべきではない
・財務報告の観点から「全体感」による重要なリスクを識別することで
コントロールの設計もポイントを押さえて進めることができる
という内容をお伝えしました。

本シリーズの最終回は、IT統制の文書化に関する誤解についてお伝えします。(以下、筆者の私見であることをお断りします)

IT統制はシステム管理基準追補版*1による分類によると
1)IT全社的統制
2)IT業務処理統制
3)IT全般統制
に分かれます。

1)は全社的な統制の文書化に包含され、2)は業務プロセス統制の文書化に包含されることもあり、文書化の対象として注目されるのは主に3)の「IT全般統制」です。

具体的には
・システムの開発、保守
・システムの運用管理
・内外からのアクセス管理などのシステムの安全性の確保
・外部委託に関する契約の管理
などを指します。

決算・財務報告プロセスが主に財務経理部門の業務を表現するのに対し、IT全般統制は主にIT部門の業務を表現するものとなります。「実施基準」でもIT統制に細かく言及していることから、IT全般統制の文書化もその他の文書化と同様、厳格に求められるものと解釈してしまいがちです。

そこでよくある誤解が
「IT全般統制で重大な不備が出てしまうと、内部統制全体としても 『重要な欠陥』になってしまうのでは?」
(=そうならないようにIT全般統制の文書化もきっちりやらないと・・・)
というものです。

そんなことはありません。
「実施基準」にはこのように書いてあります。

(引用はじめ)
「ITに係る全般統制の不備は、財務報告の重要な事項に虚偽記載が発生するリスクに直接に繋がるものではないため、直ちに重要な欠陥と評価されるものではない。しかし、ITに係る全般統制に不備があった場合には、たとえITに係る業務処理統制が有効に機能するように整備されていたとしても、その有効な運用を継続的に維持することができない可能性があり、虚偽記載が発生するリスクが高まることとなる。」

(引用おわり)

つまり、IT全般統制で不備がある場合には
「それをもって内部統制全体についてNGとなるわけではない」
「一方で、虚偽記載リスクが高まるので慎重な整備・運用が求められる」
という扱いになります。

IT全般統制の不備(およびそれを包含するIT統制の不備)に対してあまり神経質になる必要はないことはご理解いただけたでしょうか?

「IT統制の不備=重要な欠陥」ではないが、今後は注目度が上がる?



IT全般統制の不備にあまり神経質になる必要はないのですが、実は内部統制を整備・運用していくうえでIT全般統制の文書化は今後注目を浴びていく可能性があります。

内部統制導入初年度は、内部統制全体をとにかく構築することに注力する会社がほとんどだったため、IT統制の構築レベルについてあまり重大視されない傾向がありました。監査人の側も、主に時間的制約から初年度はIT統制について厳格な対処を求めないケースが多かったようです。

2年目以降は違った展開を迎えるでしょう。

内部統制の構築はいったん区切りをつけられ、2年目以降はそれをいかに効果的・効率的に整備運用していくかがポイントになります。そこでは特にIT全般統制の整備運用レベルがキーになることは確かです。

たとえばシステムの運用管理が適切な承認プロセスのもとに行われない、適切なアクセス管理が設計されていないなどの理由により、業務を運用するインフラが正しく整備運用されていないといった心証を持たれれば、より財務報告リスクを高く識別され、シビアな監査が行われることは避けられません。

監査人の側も、内部統制監査に関する経験値を得てより広範囲に目を光らせることが予想されます。その過程でIT統制(特にIT全般統制)の不備についてもよりシビアに検証されるものと予想して対処するのが賢明です。

上記のように「IT統制の不備=重要な欠陥」とはなりませんが、全社的な統制と同様に、IT統制(特にIT全般統制)についてもその整備運用レベルがその後の評価範囲に影響を及ぼすことは明らかです。

効果的・効率的な内部統制の整備運用のために、今からIT統制(特にIT全般統制)についても、不十分な対応があれば改善に着手しておきましょう。

内部統制の文書化に関するさまざまな誤解についてお伝えしてきましたが、共通していえることは
「制度の趣旨を正しく理解し、必要十分な作業として文書化を位置付ける」
という点です。

内部統制は文書化のみで終わるわけではなく、その後の評価をもって完結し、その後も継続的な改善が求められるプロセスでもあります。
いたずらに作業を肥大化させることなく、効果的・効率的な内部統制の文書化を進めてまいりましょう。(おわり)
*1経済産業省が発表した「システム管理基準」と「ITヘの対応」との具体的な対応関係を明らかにするための文書のこと。「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」の公表について