先日、金融庁からいわゆる日本版SOX法の実施基準の公開草案「財務報告に係る内部統制の評価及び監査に関する実施基準」が出されました。既に内容をご覧になられた方もいらっしゃると思いますが、公開草案は「内部統制の基本的枠組み」「財務報告に係る内部統制の評価及び報告」「財務報告に係る内部統制の監査」の3構成となっており、今後パブリックコメントを経て来年1月頃には正式版としてリリースされる見込みです。
当初予定の今夏から大分遅れましたがようやく出てきたという感があります。
各会社では、前もってある程度の予測のもとに準備を進めているところ、あるいは実施基準が出るまでじっと待っているところと、対応はマチマチだったと思いますが、これで対応にも力が入ることでしょう。そこで私なりに、今回の実施基準案の一部ですが、感じた点を以下に述べます。もとより様ざまな視点から議論がされている中のほんの一部だけになりますが、IT統制のところを重点に取り上げることにします。言うまでもなく実施基準は公開草案が出された段階ですのでまだ修正・加筆される可能性があります。今後の動きにも注意を払って下さい。
(1)ITの評価範囲と文書
先ず評価範囲ですが、実施基準案では「業務プロセスにおける取引の発生から集計・記帳といった会計処理の過程を確認する際に財務諸表の重要な勘定科目がどのような業務プロセス及びシステムと関連しているか、システムの機能の概要、どの部署で利用されているか等について整理する」ことになります。
ある会社では新たに業務フローを作成する準備をしていますが、まだどのレベルまで記載するかは明確でありません。今回の実施基準案でもどこまでの業務フロー図を作成するのか等その範囲のガイドはあまり明確とは言えません。また、ITを基幹業務全般に導入されている場合、既存の業務フロー図で代用するとしてどのレベルの記載であれば代用可能と認められるのかも明確でありません。更に業務記述書も同様です。例えばシステム要件定義書等は業務記述書ではありませんが、業務プロセス及びシステム概要が整理できて監査人の理解に耐えられれば可能となるのか、この点は実施基準書の「ITに係る業務処理統制の評価の検討」のところで「監査人は、システム設計書等を閲覧することにより、企業の意図した会計処理が行われるシステムが作成されていることを確認する。」ことになっていることと合わせて、既存ドキュメントの有効活用と今後のメンテナンス性も考慮に入れた、それこそ効率性が求められるのではないか考えます。
(2)委託業務の評価
最近、アウトソーシングは珍しくなくなりましたが、実施基準案では「財務諸表の基礎となる取引の承認・実行・計算・集計・記録又は開示事項の作成等の業務を委託している」場合は、委託者に責任があり、内部統制の評価範囲としています。そのため委託側の経営者は、委託先会社に対して、その内部統制の有効性を評価することになるのですが、その方法は次のいずれかの方法で検証することになります。
1つは委託業務の結果報告の検証とサンプリング検査にて検算する方法です。
もう1つは委託会社から、委託業務に関連する内部統制の評価結果を記載した報告書等を入手する方法があります。委託会社では結果報告の検証はするにしても、委託先会社に内部統制の評価結果報告書を求めると考えるべきでしょう。従って委託先会社は何等かの対応策が必要となります。
内部統制についてはまだ、いろいろ議論が続くと思われますが、肝心なのは自社の業務プロセスが効果的且つ効率的に機能していることであり、その為のしくみであって、報告のための報告にはしたくないものである。それともう1つ大事なのは社内のコミュニケーションです。業務フロー作成になれない人が作成しますから、繋がらない業務フローなどにならないようプロジェクトの標準化等に留意して下さい。
また、今後は内部統制についての自社のポリシーと対応内容についての監査人との協議を通じて信頼関係を確立して取り組んで下さい。
■執筆者プロフィール
大塚 邦雄
情報処理システム監査、ITコーディネータ
30年にわたるシステム経験をもとにIT化を支援します。
e-mail:k_ootuka@mbox.kyoto-inet.or.jp
