内部統制とITコンプライアンス 【システム上で伝票が適切な承認機能の元で発行されているかで財務諸表の適正性を判断】

本記事の概要

財務諸表の適正性をチェックするには業務オペレーションの証拠である伝票のチェックが必須ですが、膨大な量の伝票を全てチェックするわけにはいかないので、業務システムのデータが適正に流れていることを確認できればよく、これはシステムの承認機能がキチンと機能していることが確認できればよいわけです。

内部統制とは業務フローの承認機能を健全にコントロールすることであり、社内コンプライアンスを遵守させることとほぼ同義になります。

JSOXで指導される内部統制強化

数年前からインドネシアでも日本の本社からJSOX(2006年に成立した金融商品取引法の中の内部統制に関するルール)への対応を求められることが増えつつあり相談を受けるようになった。

要は社内コンプライアンス(社内法令)の遵守を徹底させること、つまり内部統制の強化が目的で、日本の上場企業とその連結子会社がJSOXの適用対象になっている。つまりインドネシアの現地法人の多くが対象になっているものと思われる。

私は「内部統制とは何か」と問われたら、システムの現場担当者として「業務フローの承認機能を健全にコントロールすること」と答えるようにしている。これは「社内コンプライアンスを遵守させること」とほぼ同義だと思っている。

そもそもJSOXのSOXはアメリカのサーベンス・オクスフリー法のことであり、これはエンロンの巨額不正会計事件が株式市場に大きな影響を与え社会問題となったことから、経営者に内部統制の強化を求めるために制定されたものである。つまり内部統制によって財務諸表の適正性を保証させるものである。その後日本でもライブドア・村上ファンド事件があり、日本版SOX法として法令化された。

内部統制とIT対応の関係

ただJSOXは本家アメリカのSOX法に比べてITへの対応が強化されているのが大きな特徴である。それでは財務諸表の健全性を目的とした内部統制とITへの対応がどういう関係があるのか、これが今回の本題である。

まず財務諸表の適正性をチェックするには業務オペレーションの証拠である伝票のチェックが必要になるが、膨大に蓄積した伝票をすべてチェックしていくのは大変である。幸いなことに上場企業のほとんどで業務フローはシステム化されているので、基幹システムでデータが適正に流れているかどうかのチェックをすることで末端の伝票チェックをカバーできる。

それではデータが適正に流れるとは何か?これはシステムの承認機能(Approval)がキチンと機能しているということである。これを保証させるものがいわゆるIT業務処理統制にあたるものである。

さらにRAS(Reliability 信頼性, Availability 稼動性, Serviceability 保守性)またIntegrity 保全性とSecurity 安全性を加えたRASISの観点から、基幹業務システムが有効に機能するかどうかを保証させるのがIT全般統制である。

JSOXの定める2つのIT統制

JSOXのIT統制はこれらIT業務処理統制とIT全般統制の2つから構成される。上場企業が具体的に行わなければならないことは業務処理フローを標準化し、内部統制報告書として文書化し、外部機関(監査法人)の監査を受けることである。

最近の会計システム導入に際してはJSOXとIFRS対応の有無は非常に関心の高い部分である。

JSOX対応

取引に承認機能装備、Posting処理前の仕訳伝票発行機能、ユーザー権限アクセスコントロール

IFRS対応

会計仕訳複数レベル管理機能、財務三表装備、適正な収益費用認識基準

総合システム運用管理ツール

IT全般統制をサポートする市販のパッケージは「総合システム運用管理ツール」に分類されるものと思うが、

  1. Job Management
  2. Monitoring
  3. Fundation
  4. Desktop Management

の4本が柱で、具体的な機能として

  1. Software Distribution(Manager端末からAgent端末への一括インストール)
  2. Aset Information Management(ネットワーク資産管理)
  3. Client Security Control(データ持ち出し制御、ユーザー操作ログ管理、接続監視)
  4. Net Monitor(ネットワークへの接続ブロック)

などがある。

統合システム運用管理ツール