本来のIT内部統制に戻す - IT内部統制のリバランス
日立グループではこの変更を契機に、SOX法対応から生じた内部統制に関する認識のずれを修正することになった。すなわち、「SOX法対応=内部統制(およびIT内部統制)」ではないということの再確認である。
ご存知の通り、SOX法対応における内部統制評価とは、「財務報告に係る内部統制」の評価が中心である。COSO(トレッドウェイ委員会支援組織委員会)の内部統制が目指す、
- 業務の有効性と効率性
- 財務報告の信頼性
- 関連法規制の遵守(コンプライアンス)
の3つの目的のうち、2の「財務報告の信頼性」を担保しているに過ぎない。日立グループでもそうであるが、IT内部統制は元来3つの目的すべてを評価対象とすべきである。
どうリバランスさせるか
それでは、どう対応すべきであろうか。日立グループの事例を通じて紹介しよう。
まず、財務報告に係るIT内部統制(IT内部統制 fox SOX)は「100%の統制」を目指し、項目を絞って評価を行うことで、評価作業の効率化を図ると共に、外部監査報酬やコンサルティング報酬などのコンプライアンス外部コストの削減を行った。
次に、業務の有効性と効率性に向けた「(今だからこそ)仕込むべき予算」を、IT内部統制による自己評価を通して確保した。つまり自己評価を、来期予算取りの根拠説明にも有効な手段として機能させるのだ。この目的における自己評価は、来期予算編成の参考となるよう第3四半期での実施を推奨している。
さらに、業務の有効性と効率性を評価するため、SOX法対応と同様のリスクベースによる評価を行う。日本における従来型のコントロールベースによる自己監査は、IT規則への準拠性や内部統制の網羅性評価が中心だ。自己監査計画を作成し、監査(評価)テーマに関するキーリスクやキーコントロール(統制)の絞込みを通して、効率的なリスクベースアプローチによる統制評価を浸透させる。これには、IIA(内部監査人協会)の提供するGAIT(Guide to Assessing the scope of IT general controls) Methodologyが参考になる。
