KCCSの日本版SOX法セミナーでトーマツ白樫氏が講演

会計士が語る、IT統制の勘所とは?

2007/07/13

 京セラコミュニケーションシステム(KCCS)は7月13日、「事例に学ぶ日本版SOX法対策セミナー」を実施。監査法人トーマツ エンタープライズリスクサービス シニアマネージャー 白樫英宏氏が日本版SOX法におけるIT統制評価の勘所などを語った。

 KCCSは、親会社がニューヨーク証券取引所に上場している関係から、米国SOX法に対応する必要性が発生し、監査コンサルティングをトーマツに依頼した経緯がある。

「IT業務処理統制」と「IT全般統制」は混同しがち

白樫氏写真 監査法人トーマツ エンタープライズリスクサービス シニアマネージャー 白樫英宏氏

 白樫氏によると、日本版SOX法におけるIT統制には、「全社的な内部統制」の中に組織体制や規定整備などを含んだ「IT環境への対応」がまず土台としてあり、「IT全般統制」をサポート。さらに、そのIT全般統制が、業務プロセスにかかわる内部統制の中にある「IT業務処理統制」をサポートする形だとした。この点について白樫氏は、「特に『IT業務処理統制』と『IT全般統制』は混同しやすく、コミュニケーションギャップになりやすい」と説明した。

 これをさらに掘り下げると、セキュリティ管理や運用管理、開発・保守管理など業務処理統制が有効に機能する環境を保証するための統制活動を「IT全般統制」と位置付け、業務管理システムにおいて承認された業務が正確に処理されているかどうかを確保する整合性チェックプログラムなど、自動化された内部統制を「IT業務処理統制」と位置付けるのだという。

現場レベルでは、基本的に日本版SOX法と米国SOX法は同じものと考えてよい

 次に白樫氏は日本版SOX法と米国SOX法の違いに、「ダイレクトレポーティングの不採用」「内部統制の不備の区分を3つから2つに削減」「構成要素に『ITへの対応』を追加」「内部統制の目的に『資産の保全』を追加」の4点を挙げた。そのうえで、「ダイレクトレポーティングの不採用や区分を減らした点などは、大きなフレーム変更といえる。しかし、そのほかの点などを考慮すると、基本的に現場レベルでは日本版SOX法と米国SOX法は同じものと考えてよいのではないか」とコメントした。

 また、日本版SOX法対応によくある間違いに「電子メールシステムや稟議決裁システムもIT全般統制の対象になるのか?」「個人情報保護法対応しておけば日本版SOX法対応もできている」「セキュリティポリシーを策定しておけば、『システムの安全性の確保』に対応できる」「IT業務処理統制の評価は仕様書レビューで足りる」などを挙げた。そして、「電子メールシステムは経験上、IT全般体制の対象となる可能性は非常に低いだろう。稟議決済システムはRCM(リスク・コントロールマトリクス)に出てくるかどうかによるがそれほど高くない。主に対象となるのは、購買管理システムなどだ。しかし、最終的にはリスクとの絡みが重要になってくるので、監査法人との協議が重要なポイントとなってくる」と説明した。

IT全般統制評価の勘所とは?

 白樫氏はIT全般統制評価の勘所として、「システムの開発、変更・保守」「システムの運用・管理」「システムの安全性の確保」「外部委託に関する契約の管理」の4つを例示した。まず、システムの開発、変更・保守では、システムの企画や要件定義、設計・テスト・本番移行の各フェイズにおいて承認証跡の確保をしなければならない点や、企画や要件定義段階からのユーザー部門の関与、OSやミドルウェアといったITインフラ更新管理の要否検討、関連文書の保管期限と評価対象期間などが重要だとした。

 システムの運用・管理における勘所では、自動実行ツールやDB直接更新、臨時ジョブなどの利用者制限や、未承認ジョブ実行、DB更新に対する発見コントロール、障害対応の網羅性・適時性確保、バックアップの遠隔保管の要否・頻度検討などがポイントだとした。「これらの中にはかなり微妙な部分も含むので難しい。例えば、バックアップの遠隔保管などは『耐火金庫にしまえば良いのではないか?』という議論もある。投資金額の問題でもあるので、監査法人とは十分な議論が必要だろう」(白樫氏)と説明した。

 システムの安全性の確保は、「いわゆるセキュリティの問題。ここが個人的に1番悩ましい問題だと思っている」と説明。予防的コントロールと発見的コントロールのバランス、財務報告に直接・間接的に影響を及ぼすオペレーションにフォーカスすること、未承認オペレーションに対するコントロール・内部統制の充実、リスク評価結果との関連がポイントだとした。特に同氏は、「予防的コントロールと発見的コントロールのバランスが実務的に1番難しい。IDを決めて権限を付与することは予防になっているともいえるからだ」と説明した。

 最後の外部委託に関する契約の管理は、外部委託先を選定するときの承認ルール・判断基準の明確化や、外部委託業務の直接評価の可否検討、SLAの実効性確認、18号報告書・SAS70レポートに関する事前打ち合わせや結果内容検討などがポイントだとした。

IT全社統制評価の勘所は

 IT全社統制評価の勘所では、グループポリシーの策定・各種報告体制の確立や、リスク評価結果に基づくIT全般統制・IT業務処理統制の実施レベル検討、全社レベル・各社レベルの対応区分、内部監査に求められるIT対応スキルなどが重要だと説明。「特にポイントとなるのが、内部統制の監査人がどこまでITに対応できるかだ。内部監査にシステム部門の人間を入れておくなどの工夫が必要となってくる」とコメントした。

(@IT 大津心)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -