|
先日、金融庁からいわゆる日本版SOX法の実施基準の公開草案「財務報告に 係る内部統制の評価及び監査に関する実施基準」が出されました。既に内容をご 覧になられた方もいらっしゃると思いますが、公開草案は「内部統制の基本的枠 組み」「財務報告に係る内部統制の評価及び報告」「財務報告に係る内部統制の 監査」の3構成となっており、今後パブリックコメントを経て来年1月頃には正 式版としてリリースされる見込みです。 当初予定の今夏から大分遅れましたがようやく出てきたという感があります。 各会社では、前もってある程度の予測のもとに準備を進めているところ、あるい は実施基準が出るまでじっと待っているところと、対応はマチマチだったと思い ますが、これで対応にも力が入ることでしょう。そこで私なりに、今回の実施基 準案の一部ですが、感じた点を以下に述べます。もとより様ざまな視点から議論 がされている中のほんの一部だけになりますが、IT統制のところを重点に取り 上げることにします。言うまでもなく実施基準は公開草案が出された段階ですの でまだ修正・加筆される可能性があります。今後の動きにも注意を払って下さい。 (1)ITの評価範囲と文書 先ず評価範囲ですが、実施基準案では「業務プロセスにおける取引の発生から 集計・記帳といった会計処理の過程を確認する際に財務諸表の重要な勘定科目が どのような業務プロセス及びシステムと関連しているか、システムの機能の概要、 どの部署で利用されているか等について整理する」ことになります。 ある会社では新たに業務フローを作成する準備をしていますが、まだどのレベ ルまで記載するかは明確でありません。今回の実施基準案でもどこまでの業務フ ロー図を作成するのか等その範囲のガイドはあまり明確とは言えません。また、 ITを基幹業務全般に導入されている場合、既存の業務フロー図で代用するとして どのレベルの記載であれば代用可能と認められるのかも明確でありません。更に 業務記述書も同様です。例えばシステム要件定義書等は業務記述書ではありませ んが、業務プロセス及びシステム概要が整理できて監査人の理解に耐えられれば 可能となるのか、この点は実施基準書の「ITに係る業務処理統制の評価の検討」 のところで「監査人は、システム設計書等を閲覧することにより、企業の意図し た会計処理が行われるシステムが作成されていることを確認する。」ことになっ ていることと合わせて、既存ドキュメントの有効活用と今後のメンテナンス性も 考慮に入れた、それこそ効率性が求められるのではないか考えます。 (2)委託業務の評価 最近、アウトソーシングは珍しくなくなりましたが、実施基準案では「財務諸 表の基礎となる取引の承認・実行・計算・集計・記録又は開示事項の作成等の業 務を委託している」場合は、委託者に責任があり、内部統制の評価範囲としてい ます。そのため委託側の経営者は、委託先会社に対して、その内部統制の有効性 を評価することになるのですが、その方法は次のいずれかの方法で検証すること になります。 1つは委託業務の結果報告の検証とサンプリング検査にて検算する方法です。 もう1つは委託会社から、委託業務に関連する内部統制の評価結果を記載した報 告書等を入手する方法があります。委託会社では結果報告の検証はするにしても、 委託先会社に内部統制の評価結果報告書を求めると考えるべきでしょう。従って 委託先会社は何等かの対応策が必要となります。 内部統制についてはまだ、いろいろ議論が続くと思われますが、肝心なのは自 社の業務プロセスが効果的且つ効率的に機能していることであり、その為のしく みであって、報告のための報告にはしたくないものである。それともう1つ大事 なのは社内のコミュニケーションです。業務フロー作成になれない人が作成しま すから、繋がらない業務フローなどにならないようプロジェクトの標準化等に留 意して下さい。 また、今後は内部統制についての自社のポリシーと対応内容についての監査人と の協議を通じて信頼関係を確立して取り組んで下さい。 ■執筆者プロフィール 大塚 邦雄 情報処理システム監査、ITコーディネータ 30年にわたるシステム経験をもとにIT化を支援します。 e-mail:k_ootuka@mbox.kyoto-inet.or.jp |
コメントをお書きください