日本版SOX法は財務報告の信頼性確保を目的にしていますが、内部統制自体はそれ以外の目的もありますので、前提となる内部統制自体について述べられています。ここではCOSOの内部統制の枠組みをベースにして、「日本版COSO」とも呼ばれる内部統制の枠組みを次のように定義しています。

「内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される」

図10 日本版COSO

米国のCOSOとの大きな違いは目的に資産の保全が加わり、構成要素にITへの対応が加わったことです。しかし前に述べたように、これらは米国版COSOでも実は考慮されていましたので全体としてはそれほど違いはありません。ITへの対応という構成要素が加わったことが日本では注目を浴び、J-SOXに対応するためにはITを導入しないといけないのでは?という誤解もありましたが、そういうことではありません。ITなしでは企業の目的を達成することは不可能になっている現状では、ITを活用したり統制したりすることは、内部統制を達成する上で重要という意思の表れなのでしょう。

目的のひとつである「事業活動に関わる法令等の遵守」とは、たとえば個人情報保護法への対応が相当します。個人情報保護法への対応は、最近ではWinnyによる情報漏洩が多発しており、そのための対策を多くの組織で実施していますが、あれはまさに内部統制です。しかし、J-SOXの求める財務報告の信頼性確保につながる内部統制であるとはおそらく言えないでしょう。

また「業務の有効性及び効率性」とは組織目的を達成するために資源を効率的に使用することに相当しますが、そのための内部統制がJ-SOXが求める内部統制かというとそうでありません。内部統制といってもさまざまな目的があるということです。ただし、4つの目的はお互いに密接な関係にあることが実施基準では指摘されています。

内部統制の6つの構成要素は、これらすべてが適切に整備及び運用されることにより内部統制の目的が達成されるとされています。つまり、これらすべてについて内部統制評価を行うわけです。

「統制環境」とは、組織の内部統制に対する基盤となるもので、内部統制に対する価値基準や、組織の人事や職務の制度などの総称です。要は経営者の内部統制に対する思いと考えてよいでしょう。

「リスクの評価と対応」とは、組織の目標を阻害する要因をリスクとして識別し、分類し、分析し、評価し、対応するというプロセスです。例えば、日本版SOX法では財務報告の信頼性に影響を与えるリスクを取り上げます。逆に言えば、それ以外のリスクは対応する必要はありません。

「統制活動」とは、上で得られた対応すべきリスクに対して業務プロセスのなかで体制を整備するということです。財務報告の信頼性に関しては明確な職務の分掌、内部牽制、継続記録の維持、適時の実地検査などの物理的な資産管理の活動が必要とされています。

「情報と伝達」とは、組織の内外で情報が正しく伝わるようにすることです。内部通報制度の整備もこれに含まれます。

「モニタリング」とは、日常的モニタリングと独立的評価に分かれており、前者は業務を行う部署において日常的、継続的に行われる点検で、後者は内部監査部門などにより業務部門とは独立的な立場から行われる評価です。

「ITへの対応」とは、IT環境への対応と、ITの利用および統制に分かれており、前者は組織を取り巻くIT環境、たとばITの浸透度、ITの利用状況、情報システムの安定度、ITに係る外部委託、などの状況を考慮することとされています。後者のうち、ITの利用とは、内部統制の他の5つの構成要素の有効性を確保するためにITを利用するということです。ITの統制とは、組織内の情報システム自体の統制です。財務報告の信頼性に関しては会計上の取引記録の正当性、完全性及び正確性の確保がITの統制目標とされています。ITの統制は「IT全般統制」と「IT業務処理統制」にさらに分かれています。

IT全般統制とは、企業内で使用する業務システムが正しく動いていることを保証するための統制です。一般に、人手ではなくコンピュータで業務を行えば計算ミスなどの間違いを起こす確率は少なくなりますが、それもコンピュータが正しく動いていることが前提になります。例えば、プログラムのバグのために計算が間違えていたという事例はよくニュースで見かけますし、ID、パスワードの管理が不十分で誰でもログインできる状態であれば、コンピュータを使った不正も簡単です。

したがって次のような項目のIT全般統制の確保が必要になります。

  • システムの開発、保守に係る管理
  • システムの運用/管理
  • 内外からのアクセス管理などのシステムの安全性の確保
  • 外部委託に関する契約の管理

これらはPCAOB AS2で求めているIT全般統制の項目と類似しています。つまり、正しく業務システムを開発し、開発したプログラムを正しくテストを行い、正しく本番環境に移し、システムを日々正しく運用するということと、アイデンティティ管理やログ管理に代表されるセキュリティをしっかりやる、ということが求められています。これらは目新しいことではありませんが、皆さんの会社では監査に耐えられるようにきっちりとエビデンスを残しながら実行されているでしょうか? いずれも運用方針を決め、業務の証跡を残しておくことが共通的に必要になります。

IT業務処理統制とは、業務システムが正しく動作するように業務システムに組み込まれたIT統制であり、次の項目が挙げられます。

  • 入力情報の完全性、正確性、正当性等を確保する統制
  • 例外処理(エラー)の修正と再処理
  • マスタデータの維持管理
  • システムの利用に関する認証、操作範囲の限定などアクセスの管理

一般にはERPなどの業務システムを導入することによりIT業務処理統制を行います。

提供:オービックビジネスコンサルタント

『奉行DOCUMENT Pack』はサンプル文書付。文書化作業を大幅に軽減。