IT統制の経営者評価 効率化のポイント企業リスク2010年1月号(第26号)掲載記事を加筆・修正 |
平成20年4月から導入された内部統制報告制度は、制度導入後3年が経過し、実務慣行を踏まえた基準等の見直しが進められているところではあるが、IT統制をめぐっては経営者評価の効率化に悩みを抱えている企業が多いようである。なかでも、IT統制の評価要員、評価スキルを十分に確保できないことに悩みを持つ企業が少なからず見受けられる。そのような悩みの解決に多少なりとも貢献すべく、本稿ではIT統制評価の効率化という観点からいくつかの論点を挙げ、説明を加えている。なお、本文中の意見にわたる部分は私見であることを予めお断りしておく。
1.はじめに
1.1 経営者評価初年度の振り返り
「財務報告に係る内部統制の評価及び監査に関する実施基準」(以下本稿では「実施基準」と表記する)等の公表により内部統制制度の骨格が固まってから、3月末決算会社の内部統制報告書が開示されるまでの間には、IT統制の整備は他の統制に比べ相対的に遅れているといった内容の各種調査結果がしばしば発表されていたのは記憶に新しいところである。筆者の経験に照らしても、これら調査結果は概ね実態を反映したものであったと感じている。
さて、制度が開始されて3年が経過したが、大方の事前の予想に反して(?)IT全般統制に関連した「重要な欠陥」を開示した事例はほとんど見られない。しかし、「重要な欠陥」に至らないまでも、期末までに全ての不備を改善するまでには至らなかった会社は少なくないであろう。また、結果的に改善できた会社であっても、期末時点でIT全般統制が有効と評価できるか確信を持てず、IT全般統制が有効でないことを前提に評価計画を立案し、評価を行った会社も多かったのではないだろうか。
1.2 IT全般統制が有効であるということ
財務報告に関連するデータの処理過程に、ITを利用していない会社はまずないであろう。したがって、業務処理統制の評価を行うに当たっては、ITに係る業務処理統制(以下本稿ではIT業務処理統制と表記する)が少なからず評価対象に選ばれることになるはずである。
「実施基準」にも示されているように、ITを利用した統制は人手による統制に比べ、運用評価時のサンプル数を減らしたり、サンプルの対象期間を短くしたりすることが可能であることから、通常はITを利用した統制を積極的に評価対象に選定することで、運用評価の作業量を減らすことができる。
しかし、サンプル数を減らしたり、サンプルの対象期間を短くしたりすることが可能なのは、あくまでIT全般統制が有効な場合に限定されるため、前述のようにIT全般統制に不備があるような状況、IT全般統制が有効でない前提で評価計画を立てている状況においては、ITを利用した統制を評価対象にすることにメリットは得られていないということになる。
つまり、IT統制評価の効率化の第一歩は、まずIT全般統制の不備を改善し、IT全般統制が有効であることを前提とした評価計画を立案することから始まるのである。
2.IT全般統制評価単位の見直し
2.1 IT全般統制の評価単位
IT全般統制の評価単位の設定に関しては、「ITに係る全般統制は、通常、業務を管理するシステムを支援するIT基盤(ハードウェア、ソフトウェア、ネットワーク等)を単位として構築することになる」との記述が「実施基準」にあり、実際に経営者評価を行うに当たり、複数のIT全般統制の評価単位を識別している会社も多いことと思われる。特に、多数のサーバ群から構成されるクライアント・サーバ型の基幹業務システムが利用されている場合にその傾向が顕著である。
しかし一方で、評価単位の設定に関する詳細な指針は実施基準では明示されていないこともあり、評価単位の考え方には会社間で幅があるように思われる。極端な例では、アプリケーションシステムごとにIT全般統制の評価単位を設定し、個々に評価を行っている会社もあると聞く。ITの利用状況は個社ごとに異なるので一概には言えないものの、IT全般統制の評価単位が多くなっている会社の場合、評価単位の設定が適切か否かを見直すことで、評価を効率化できる可能性があると考えられる。
2.2 評価単位見直しのポイント
では、どう見直せば評価単位の統合・削減につながるのであろうか。検討のポイントを以下に例示する。
(1)共通の統制に注目する
IT基盤が異なっていても、実施されている統制は共通であることも多い。実施されている統制が共通であれば、IT基盤ごとに統制を評価する必要はない。例えば、ユーザIDの登録申請手続において、アプリケーションごとにIDの申請手続が必要であったとしても、手続のプロセスが同一であれば、ひとつの統制として評価することが可能である。評価単位ごとに作成されたIT全般統制のRCMを再度見直し、評価対象となっている統制が実質的に同一のものでないか確認してほしい。評価単位の完全統合までは無理であっても、個別の統制レベルでは統合(=他の評価単位を参照)することが可能な場合は少なくないはずである。
(2)統制の再整備
内部統制報告制度への対応を進める過程において、時間の制約からとりあえず現状実施されている統制をそのまま文書化し、評価を実施した会社もあるだろう。このような会社では、統制の対象となるリスクが同一で、統制の内容もほぼ同一でありながら、担当部署、担当者ごとに統制の些細な部分が異なっているがために、評価単位を区分せざるを得なかった場合もあると推察される。本来このような状況であれば、個々の統制を再検討し標準的な統制に統合することが、業務効率、統制の品質の観点からも要請されるのであるが、実際には一旦文書化が完了してしまうと、そこで安心してしまうのか、見直しまでは行われないという状況に陥りがちである。複数のIT全般統制評価単位が識別されている場合は、リスクと統制、統制実施者の関係が合理的か否かについて、ぜひ検討することをお勧めしたい。
2.3 中長期的な視点から
中長期的な視点に立てば、IT関連業務のあり方そのものを見直し、関連組織を再編するという方向性もありえる。特に、グローバルに事業を展開している会社、多数の連結子会社を抱えている会社については、以下のような視点でIT統制を検討することが重要であると思われる。
(1)ITガバナンスの再構築
真の意味でIT全社統制が確立している会社はまだ少ない、というのが筆者の実感である。特に海外に事業展開している会社においては、海外拠点のIT利用状況すら把握できていないということも珍しくなかった。このような会社では、IT統制の構築・整備にあたってグループ会社への関与が全くない、あるいはほとんどなく、基本方針なども確立していないので、当然ながらIT関連業務を行っている拠点ごと、部署ごとにIT全般統制のあり方が異なることになり、連結ベースではかなりの数の評価単位が識別されることになっているはずである。もしご自身の会社に当てはまると思われる場合は、ITガバナンスの強化という視点からIT全社統制の再構築を行うことをお勧めする。それはIT統制評価の効率化ということを超え、経営そのものの効率化にも役立つはずだからである。
(2)シェアドサービス化
昔は、1台のホストコンピュータ上に全ての基幹業務システムが構築され、本社の情報システム部門で集中管理されていることが多かったが、クライアント・サーバ型のシステムが普及した現在では、会社ごと、事業拠点ごと、部署ごとにアプリケーションシステムが導入され、運用管理もそれぞれで行われていることが少なくない。クライアント・サーバ型システムには、導入コスト面での有利さ、ユーザ部門にとっての導入・運用面での柔軟さといった点でメリットがあると一般的には言われている。しかし、コスト面については導入後の運用コストを含めて考えた場合に必ずしも有利とはいえないとの考え方もあるし、ユーザ部門にとっての柔軟さは、適切な内部統制の整備・運用という面において相反する部分があるとも考えられる。そこで、ITのシェアドサービス化という考え方が生まれてくる。大手の企業グループではすでにいくつも事例が認められるが、グループ内で共通に利用可能なアプリケーションシステムを一括して開発・運用し、ユーザ部門にサービスとして提供するのである。このITのシェアドサービス化は、IT投資を一括管理し、グループ全体でのITコスト削減を図るという意図に基づくものであるが、結果としてIT統制評価の効率化にもつながるものである。
