日立システムアンドサービスは8月28日、セミナー「Prowise Business Forum 内部統制の現状と課題 ~実践的なIT運用と改善のポイント~」 を開催。内部統制の適用初年度が上半期をすぎたことを踏まえ、現在とるべきレビューポイントを紹介するとともに、2年目以降、内部統制システムを安定的に運用・改善していくために現在何を準備しておくべきかなどについて解説した。

セミナーの基調講演には、千葉工業大学の社会システム科学部プロジェクトマネジメント学科教授 森雅俊氏が登壇。森氏は、「内部統制初年度のシステム改善とレビューのポイント」と題し、内部統制の基礎知識から、内部統制システムの整備手順と内容、文書化作業のポイント、実施基準におけるIT統制(IT全般統制、IT業務処理統制)の内容までを解説し、いま行っておくべき直前対策を紹介した。

千葉工業大学 社会システム科学部プロジェクトマネジメント学科教授 森雅俊氏

森氏は、日本IBMで、生産管理、業務改革、システムエンジニア、プロジェクトマネジャーなどの職務を15年務めたのち、SAPジャパンのERPコンサルタントを経て、大学教員に転向。工学博士(東京大学)、技術士(経営工学)として、ビジネスモデル学会、経営情報学会、プロジェクトマネジメント学会などに所属する。

同氏はまず、内部統制の4つの目的(業務の有効性・効率性、財務報告の信頼性、関連法規の順守、資産の保全)や6つの基本要素(統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応)といった基礎知識をあらためて解説し、「現段階では、文書化作業に時間と労力をかけたことで、IT統制がやや遅れ気味の企業が少なくないのではないか」との認識を示した。

内部統制システムの各フェーズを解説するにあたっては、実際に、セミナーに参加者約80人に自社の内部統制の進捗状況を確認。大きく7つに分けられるフェーズ(1. 方針・範囲・体制の決定、2. 重要プロセスの設定、3. 文書化、4. IT統制、5. リスクの評価と統制の有効性の評価、6. 内部監査と改善、7. 外部監査と報告)のうち、どのフェーズに属するか挙手を求めたところ、文書化やIT統制に取り組んでいる担当者がそれぞれ5人程度、内部監査や外部監査がそれぞれ5人程度、有効性評価で多くの担当者が手を挙げるという結果となった。

内部統制システムの整備手順

フェーズ5「リスクの評価と統制の有効性の評価」での内容と情報システム部門の役割

森氏は、そのうえで、有効性評価を踏まえた文書化作業のポイントやIT統制のポイントを解説。まず、文書化については、「文書化作業をJ-SOXへの対応に限定していると、新たな法対応が求められた際に、社内の仕組みがつきはぎになる可能性がある。文書化を『すでにある文書を評価し、改訂や追加を行うこと』と定義し、文書化された内容をもとに業務に内在する問題点を修正していくプロセスこそが重要」と語った。

実際の運用プロセスでは、作成した業務フロー図をもとにリスクやコントロールを識別するとともに、業務フローに変更が加えられていないかを管理したり、リスクが指摘される個所についてアプリケーションによるコントロールを強化したりといった取り組みが行うことになる。そうした観点からも、文書化作業では、いわゆる3種の神器としての「業務説明書」「業務フロー図」「リスクコントロールマトリクス」のほか、プラスアルファとして、業務の内部統制評価を行う際の「運用評価表」、運用評価の不備状況と改善案を示した「課題対応表」の2つが必要になると説明した。

また、IT統制については、IT全般統制において不備として発見しやすく、問題になる可能性の高いものとして、アクセス管理、ID管理を挙げ、適切に行っておく必要性を強調。IT業務処理統制については、主なチェック項目として、入力情報の完全性や正確性、エラーデータの修正と再処理、 仕入先や販売先などのマスタデータの維持管理、システム利用の際のアクセス権限などといった点を挙げた。さらに、「現行のシステムで、テスト記録やアクセスログ、アブリケーションログといったエビデンスがとれるかどうかを確認をしておくことも重要」とした。

内部統制の直前対策としては、主に2つの対策を行うことを勧める。1つ目は、実施基準に示されている42の評価項目をチェックすること。その際には、項目を単に「はい、いいえ」でチェックするのではなく、担当部署、統制記述、参照文書、経営者への質問、評価といったフォーマットに基づいたチェックを行う。

実施基準の42評価項目をチェックする際のチェックリストのフォーマット例

内部統制報告書の記載事項。仮の内部統制報告書を作成しておくことをすすめる

2つ目は、本提出に先立って「内部統制報告書(案)」を作成しておくこと。内部統制報告書は、内部統制システムが完成していなくても、課題と解決策をきちんと記しておけば、不備とみなされることはない。そのため、まず仮の報告書を作成し、課題と解決策を洗い出し、それを正式な報告書として仕上げていくいう進め方も有効という。

同氏はまとめとして、いわゆる「After J-SOX」に対する考え方は、「財務に関する内部統制に限らず、会社が真に内部統制を実現し、コンプライアンスを満たし、コーポレート・ガバナンスを実現する活動へ継続する取り組みだ」と語り、2年目以降も継続して実施することで、全社的なリスクマネジメント活動にしていくことが大切だとした。