5月28日に都内で開催されたセミナー「実践!内部統制プロジェクト2007」(主催:日経BP社)の特別講演に、KPMGビジネスアシュアランスの執行役員である橋本勝マネージングディレクターが登壇(写真)。「『内部統制評価制度対応プロジェクト』におけるIT部門の役割・責務」と題して講演を行った。ここでいう役割とは、IT部門が能動的に関与し貢献したい事項。責務とは、IT部門が執行しないと前に進まない事項だ。講演要旨は、以下の通り。
多くの企業がJ-SOX法の対応にすでに取りかかっている。「文書化が大変」という論調はあるが、本当に労力がかかり実現性に疑問が残るのはむしろ「評価」。J-SOX対応とは、経営者自らが企業内の内部統制を評価し、結果を表明することだ。実質的に経営者自らが評価を実施することは難しく、経営者の指揮下で評価を行う部署や機関を設置して実施することになる。内部監査部門に必要な要員がいない、あるいは内部システム監査の経験の乏しい企業においては、IT(情報技術)にかかわる内部統制評価は人材確保が難しい。
まずは、IT部門に期待される4つの役割を整理しよう。1つ目が自己証明対応の視点から見た役割だ。これは、J-SOX対応プロジェクトのマネジメント事務局に人材を拠出し、プロジェクトのマネジメントを担当する、という役割である。ポイントは業務側のITのタスクの整合性の確保と、ステークホルダー・マネジメントに関する対処の経験だろう。
次は、IT運営業務改善の視点から見た役割である。J-S0X対応プロジェクトに直接関与しないメンバーに対して、「規定整備と規定に準拠した業務遂行の必要性」「規定を逸脱した業務遂行を求められた場合の対処の仕方」といった観点で、部門内教育を徹底しておくことだ。J-SOX対応の目的達成に向けては、IT部門の要員に対する内部統制の教育・啓蒙という面から推進が必要になる。
3つ目は、IT利用高度化の視点から期待される役割だ。具体的には、複数の機能改善要求が発生した時の対応判断基準の社内提言、および、各種施策の俯瞰資料の作成と進ちょく報告を指す。法対応といえども現有資源では実現できないことが多々あるので、関係者が理解し納得するための社内資料を作成する必要がある。
最後の役割は、IT開発プロジェクト改善の視点からのものだ。現在のプロジェクトの体制や役割分担を点検し、内部統制要件に関する役割分担を明確化することと、必要に応じて、要件の見直しを行い関係者の了承を得たり、成果物にJ-SOX対応のために作成する文書を追加したり、プロジェクト計画の見直しを行い関係者の了承を得ることを指す。IT部門単独で判断を下さず、関係部門との調整を行うことが重要だ。
IT部門の責務についても、同じく4つの視点から挙げることができる。まずは自己証明対応の視点からだ。「ITにかかわる全社統制」「IT全般統制」「IT業務処理統制」について、会計監査人の適正意見を得られるよう関与すること。システムの棚卸し、システムと業務の関係整理、利用部署の明確化などの把握が先決である。
2つ目のIT運営業務改善の視点から見た責務は、将来にわたって現在の統制レベルを維持できることを保障するために、IT全般統制上の点検結果や経営者による評価結果をできる限り早期に共有し、規定整備と業務方式の見直しなどの是正を進めることだ。ITにかかわる全社統制やIT全般統制に重要な欠陥がある場合、その影響はIT部門のみならず関係する業務部門の評価にも波及することを忘れてはいけない。
3つ目は、IT利用高度化の視点からの責務だ。発見された業務処理上のリスクに対するITの効果的な利用提案や「不備」「重要な欠陥」に対する迅速な是正の実現を目的として、「IT業務処理統制上の脆弱点の傾向分析と関係者間での共有」「IT業務処理強化に向けた代替手段について各種ソリューションの情報収集」を実践することである。IT上の統制状況だけを見て「重要な欠陥」と判断するのは性急な場合があるので、業務側での統制状況も加味した判断ができるよう関係者で情報共有が必要だ。
IT部門の最後の責務は、IT開発プロジェクト改善の視点からのものである。該当する企画の有無を確認したり、既存システムに対する評価の流れとは別に、要求仕様の状況を再監し、改善の余地があるかを吟味することなどだ。必要に応じて、プロジェクト計画を見直し、関係者の了承を得て執行することも責務に含まれる。ポイントとしては、IT部門単独で判断を行わず関係部門との調整が必要なこと、会計監査人の助言を受けること、該当プロジェクトで開発するシステムも、既存システムと同様にJ-SOX対応プロジェクトのスケジュールに合わせて構築すること、などが挙げられる。
