監査の視点から見たIT統制の実態

前編

内部統制の中でも圧倒的に情報量が少ないといわれるIT統制を、より効果的に進めていくためには何が必要なのか。経営者による評価・内部統制報告書の作成と監査人による監査証明の義務化を控え、いっそう困惑される方も多いことでしょう。そこで、実際に監査を行う立場であるあらた監査法人の三浦健一氏へのインタビューを通し、前編・後編に分けて、今後企業が進んでいくべきIT統制の方向性を見出していこうと思います。第1回目である今回は、IT統制の本来あるべき姿とは何なのかを、浮き彫りにしていきます。

“やりすぎ”な評価手続き…貴社はどうですか？

3月7日にSAPで行われた内部統制監査義務化直前セミナーで、三浦さんは企業内での評価手続きが過剰になっていたり、逆に大切な部分が見落とされていたりする現状があると話されていましたが、ここであらためて、三浦さんのお考えをお聞かせいただけないでしょうか。

三浦氏：
何年も前から話題にされている【内部統制】が、4月を過ぎた現在もいまだに混乱をもたらしている現状についてですが、「IT統制」のことをあまり理解されていない企業が多いのではないでしょうか。これは「IT統制」に関する情報量が圧倒的に少ないことに起因するのですが、とにかく日本版SOX法への対応に万全を期すため、想定できるすべてのコントロールを実行しようとする傾向があります。我々はこれを、本来はやるべきではないという前提で「コントロールベースの内部統制」と呼んでいます。「コントロールベースの内部統制」は、決められたことへの対応漏れをなくすために有効ではありますが、その企業に本来必要なかった企業努力まで強いることとなります。これは評価手続きの“やりすぎ”を引き起こし、結果として人員や投資における疲弊を生むことにもなりかねません。

では、こうした現状を回避するために、三浦さんから各企業へアドバイスしていただけることはありますか？

三浦氏：
“やりすぎ”を回避するためには、第一にIT統制への理解を深める必要がありますが、3月25日にJICPA（日本公認会計士協会）が公表した「IT委員会研究報告第31号の改定について」※でIT統制を深く理解するためにポイントとなる新たな記述が行なわれていますので、ぜひご一読されることをおすすめします。

内部統制への対応は、むしろチャンスと考えよう

これから先、内部統制全体を通して、各企業は本来どういった考えを持って対応していくべきなのでしょうか。

三浦氏：
日本版SOX法への対応を進めていく上で、必然的にIT統制への対応が求められるような状況になってくるのではないかと思いますが、日本版SOX法の本来の目的は、あくまでも財務諸表の信頼性を高めることによって各企業のリスクを回避することにあります。最初に考えるべきは個々の企業に内在するリスクは何であるかということなのです。これによってはじめて、リスク回避のためにどんなコントロールを行うべきかの選定が可能となり、そのコントロールがなされていれば大丈夫だという判断ができるようになります。これが、我々が理想とする「リスクベースの内部統制」であり、IT統制自体を形骸化させないための第一歩であると考えています。

リスクベースの内部統制という概念によって、各企業はどういったメリットを見出すことができるのでしょうか。

三浦氏：
IT統制への対応には、実際に何らかの投資が必要となると思います。しかし、これによって、業務プロセスの可視化が実現できることは確かです。これは一つのチャンスだと考えることはできないでしょうか。例えば別の取り組みを全社に対して行うときにも、この成果物を利用して効率的に全社への浸透をはかることが可能かもしれません。

実際、IT統制への対応というのは、企業にとって大きな負担になっているのでしょうか。

三浦氏：
そうとは限りません。少数派ではありますが、私が担当する企業の経営者の中には、IT統制に対して前向きな考えをもつ方もおり、そうした企業では日本版SOX法への対応もやはりスムーズに進行しています。内部統制対応は、今年の4月開始となっていますが、もっと前倒しに利用してIT統制を標準化したり、俗人的だったものを業務として定型化・標準化していこうという動きがあります。これは経営者の思いによるものだと思いますが、それを負荷にとらえるか、一つのきっかけとして活用していくかということですが、せっかくやらなければいけないのですから、私は後者をおすすめします。これまでIT統制も含めた内部統制への対応に消極的だった経営者の方々は、ぜひこの機会にIT統制を活用していくというスタンスに立ち、今後に生きるIT統制を目指してみてはいかがでしょうか。なおERPの導入に関しては、「トップダウンで進めなければ成功しない」という話をよく聞きますが、例えば経営層が内部統制をチャンスと捉えている企業では、すでにERPパッケージを導入しているところが多いようです。IT統制も含めた内部統制への対応とは、経営者のモチベーションに大きな影響を受けるものなのです。

※「IT委員会研究報告第31号の改定について」
http://www.hp.jicpa.or.jp/
正式名称は、「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術（IT）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」

注）文中及び口頭での意見に関る個所は話し手の個人的な見解です。

三浦氏プロフィール
あらた監査法人
システム・アンド・プロセス・アシュアランス部
マネジャー　三浦健一氏

メーカーやシステムインテグレーター（SIer）でユーザーの立場でのシステム導入を経験した後、監査やガバナンスに対しての理解を深めることの必要性を感じたことから、監査の道を志す。あらた監査法人では、IT導入の現場を理解する監査人として活躍。内部統制監査義務化に向けたセミナーをはじめ、さまざまな講演にも登壇。