特集 日本版 SOX 法

内部統制確立までの正しいロードマップ

高橋誠司氏

高橋誠司

アビームコンサルティング プリンシパルテクノロジーインテグレーション事業部

たかはし・せいじ
総合金融サービス業にて会計、財務、基幹システムなどのプロジェクトマネージャを経験し、プロジェクトにおける標準化をリード。企業合併後のシステム統合、IT 戦略、IT マネジメントの組織・プロセスに関するコンサルティングを行う。

リスクの所在を明らかにし運用状況のテストに至る

【リスクコントロールマトリクス】
業務フローの記述で明らかになったリスクについて、具体的な対策 (統制) を記述する。これがいわゆるリスクコントロールマトリクスである。エクセルで表形式にするケースが多い。

すでに社内規定のような文書が存在する場合には、それを利用できる。

統制内容は、統制実施の頻度、タイミング、重要度、統制の種類、統制の手段 (マニュアル、システム、IT など)、統制の目的などを記載する。

この段階で詳細に記述しておかないと、後に運用状況を評価する段階になり、何をテストすべきかが不明確になる。なるべく具体的で明確な記述を心がけたい。そのためには、運用状況評価の段階で、どのようなテストをするのか想定しておくとよい。

【運用状況の評価 (テスト実施)】
次が内部統制の運用状況の有効性テストである。フローや体制が確立した後は、その内容を自己テストして、内部統制が正しく機能していることを文書にまとめなければならない。

テストは質問、観察、検証、再実施の 4 つを組み合わせて実施する。

質問はインタビュー形式で、最も広く使用されている手法だが、単独では証拠能力に乏しいため、他の手法と組み合わせる必要がある。

観察は内部統制手続きの実施状況を観察し、有効性に関する証拠を入手する手法である。長期にわたる観察は難しいため、質問などの手法と組み合わせると効果的である。

検証は内部統制の実施結果を記述した文書の検証を通じて、有効性についての証拠を確保する手法である。

再実施は内部統制行為を再実施 (再現) させることで内部統制の有効性に関する証拠を得る手法である。証拠能力という意味では、質問が最も低く、再実施が最も高い。

このテストを経て内部統制が問題なく機能しているかどうかを判定し、最後に監査人のチェックを受ける。

日本版 SOX 法では評価は 1 回で終わりではなく、継続的な評価が求められる。つまり、上記のテスト以降の作業はもちろんだが、組織や事業内容が変化すれば、当然、文書も変更作業が必要になる。その際、更新履歴の保存を忘れてはならない。

以上のように、内部統制の仕組みづくりからその後の運用へと至るには、膨大な作業が待っている。企業のリソースをすべて内部統制に振り向けるわけにはいかない。作業内容は非常に地道な作業を大量に繰り返すため、人海戦術ではお手上げである。いかに効率的に作業を進めるかがポイントとなる。そんなときに大きな効果を発揮するのが、ツールの活用である。

ページのトップへページのトップへ

フレームワークに IT への対応が明記された理由

そもそもこの新法に対応するには、評価の文書が膨大な量になる。評価時のテストシートも含めると、文書量は計り知れない。

それでも外部監査用として適切に保管、いつでも閲覧できるようにしておく必要がある。改竄を防ぐため、利用者権限管理が求められる。さらに評価開始後も、煩雑なメンテナンスを誤りなく確実に実施しなければならない。

次に評価の仕組みの効率も重視される。とにかく膨大な作業の進捗状況を把握するには、手作業では時間と手間がかかる。しかも評価が遅れると、監査法人の監査意見差し控えといった事態になりかねない。

こうしたリスクを考えると、何らかの内部統制支援ツールを活用して日本版 SOX 法に対応した業務の効率化やコスト削減を図ることが望ましい。

日本版 SOX 法で示された内部統制のフレームワークの基本要素に IT への対応が挙げられている。つまり、内部統制が有効かつ効率的に働くように業務にシステム機能を組み込むということである。

この「IT 対応」が明記されたことは、日本版の特徴といえる。業務を統制するうえでシステムによる業務支援を軽視できないという認識から、このような形になった。こうした経緯を考えても、IT 活用なしに効果的な内部統制対応は困難と考えたほうがいいだろう。具体的には 1. IT のガバナンス、2. IT の全般統制、3. IT による業務統制である。

まず IT のガバナンスは、IT 投資、IT 資産のマネジメントが中心だ。次に IT の全般統制は、IT 組織の役割や責任分担を適正に管理できているかがポイント。最後に IT を使った業務統制である。これは人間が実行するものだけでなく、IT を使ってチェックするものもある。わかりやすいところではセキュリティが挙げられる。

したがって、IT に対する統制や管理という意味では、IT ガバナンスと IT の全般統制が中心となる。ここで IT ガバナンスと IT の全般統制の違いを簡単に説明しておこう。

IT ガバナンスは、企業経営や事業に貢献するような IT 投資のコントロールが基本。IT 投資はコストである以上、財務的にインパクトのある行為であり、それを統制するのが IT ガバナンスである。たとえば IT 戦略の策定、IT リスク評価などの活動がある。

一方、IT の全般統制は、固有の業務プロセスの統制を補完し、企業の財務情報を間接的に保証するのに必要な統制である。統制活動を間接的に支援するような仕組みづくりと言い換えてもいい。システム開発標準化、システム変更管理ポリシーの策定などがある。

IT による業務統制は個々の業務レベルの統制を IT で支援するものである。業務レベルの統制は作業量が膨大であり、ツールによる支援が有効だ。

ページのトップへページのトップへ

特集 日本版 SOX 法