PR

内部統制の構築維持におけるIT統制の役割を明確に主張する「IT Control Objectives for Sarbanes-Oxley(第2版)」の公開草案が5月に公開された。これに基づき、「キー・コントロールの概念」と「コントロールの評価テスト」について解説する。

 この5月1日に、IT Governance Instituteから「IT Control Objectives for Sarbanes-Oxley(第2版)」の「Exposure Draft(公開草案)」(第2版公開草案)が公表されました。副題は従来通り、「The Importance of IT in the Design,Implementation and Sustainability of Internal Control over Financial Reporting and Disclosure(財務報告に係る内部統制の整備、導入、維持継続におけるITの重要性について)」となっています。この副題を見ても分かるように、内部統制の構築維持におけるIT統制の役割を明確に主張するものです。

 この第2版公開草案は、COSO(The Committee of Sponsoring Organizations of the Treadway Commission)、COBIT(Control Objectives for Information and related Technology)という2大フレームワークに基づき、米国SOX法におけるIT統制の構築に関する重要な示唆を含んだ資料です。第2版公開草案の前の版である「IT Control Objectives for Sarbanes-Oxley 2004年版」の公表以降に、COBITが改訂されてCOBIT 4.0(第4版)となっており、それに合わせて第2版公開草案ではCOBITに関連する内容も改訂しています。

 しかし、それ以上に、第2版公開草案では、トップダウン・リスク・アプローチに十分配慮した、大幅な改訂が行われ、「キー・コントロールの概念」と「コントロールの評価テスト」に関して踏み込んだ解説を加えています。以下、順を追ってこれらを見て行きます。

キー・コントロールの概念

 “キー・コントロール”と聞いて、一般のコントロール(統制手続き)よりも重要なコントロールを意味することは、誰にでもすぐ理解できるでしょう。リスク・アプローチにおいて、数あるコントロールの中からキー・コントロールを特定するということは、「重要なリスクを特定し、重点対象プロセス絞り込む」ということを意味します。


図1 キー・コントロールの特徴
[画像のクリックで拡大表示]

キー・コントロールの特定による対象範囲の重点的な絞り込みは、文書化作業だけにとどまらず、コントロールのテストや改善活動など内部統制構築作業全般に影響を与えます。したがってキー・コンロールは、トップダウン・リスク・アプローチにおいて重要な概念と位置づけられます。

 しかし、これまでキー・コントロールの定義はおろか、その用語すら公式資料(PCAOB監査基準2号など)のどこにも見つけることはできませんでした。日本の基準案では、キー・コントロールは “統制上の要点”と訳されていますが、概念だけがやや先行してしまった印象があります。米国における内部統制構築の実際の現場でも、これをどのように解釈するか、きっと問題視される存在だっただろうと想像されます。このことに関して、第2版公開草案では、次のように触れられています。

 「ほとんどの会社で必ず発せられる質問といえば、『キー・コントロールとは何ですか?』という質問であった。あちこちで頻繁にこの用語が使われているという現実があるにもかかわらず、キー・コントロールに関する公式の定義は、不幸なことに、存在しないのである。どうにも捉え何処がないのであるが、キー・コントロールとは、企業が統制目標の達成を託すことにし、統制の責任者に対して財務上の統制目標が達成されていることをもっともよく保証する、そういったコントロールである。」

 以上の指摘のように公式の定義はありませんが、重要なリスクに対するコントロールの中で、中心的役割を果たすコントロールが、キー・コントロールなわけですから、どれがキー・コントロールに該当するのか、次に、その判断が重要になります。第2版公開草案では、これに関する判断材料が示されています。それを要約したものが図1です。


図2 システム(アプリケーション・ソフトウエアと技術インフラ)の導入およびテストに関する,統制目標とキー・コントロール
[画像のクリックで拡大表示]

 この図において、特徴の(1)と(3)は、キー・コントロールが、リスクのなかでも重要なリスクに対応するもので、手続き要件が存在するコントロールであるとされています。特徴の(2)は、キー・コントロールが基本となるような機能要件をサポートするもので、適用範囲が広い種類のコントロールであることを示しています。特徴の(4)と(5)は、コントロールの信頼性に関連する要素で、(4)と(5)それぞれが、高い信頼性を示すコントロールの特徴を表しています。キー・コントロールが重要なリスクに対応するものであれば当然の特徴です。

 第2版公開草案では、参考資料として、IT全般統制に関するキー・コントロールの事例を挙げています。このうち、システム導入の領域でキー・コントロールとして挙げられたものが図2です。

コントロールの評価テスト

 コントロールは、“整備状況”と“運用状況”の2つの観点から、その有効性を評価されます。「IT Control Objectives for Sarbanes-Oxley」は、この2つの観点のうち整備状況の評価に関して「成熟化モデル(CMM:capability maturity model)」を採用している点に特徴があります。


図3 コントロールの整備状況を評価するための「成熟度評価モデル」
[画像のクリックで拡大表示]

 コントロールの品質に関する評価は、図3に示した6つの段階で行われます。この成熟化モデルでは、“○×”や“有無”などの二分法による評価で陥りがちな評価結果の短絡化を防止し(二分法による評価では、極端な場合以外は、ほとんどの評価で“概ね良好”という判断しにくい結果に陥りがちです)、現時点の状況を正確に指摘しながら中期的な改善目標の提示が可能になる、というメリットがあります。

 ちなみにCMMに関しては、米国カーネギーメロン大学ソフトウェア工学研究所やISSEA(Information System Security Engineering Association)などから、いくつかの他の成熟化モデルが公表されています。それらのCMMは、今回の財務報告に係る内部統制が必要とするIT統制の達成水準という趣旨とは異なった目的に対応するものです。

業務処理統制の前提としてのIT全般統制


図4 コントロールの運用状況を評価するサンプリング・テストの標準的な最小サンプル抽出モデル
[画像のクリックで拡大表示]

 一方、運用状況の評価では、サンプリングによるテストを実施することになります。第2版公開草案では、一般的に用いられている“サンプリングに関する標準的な最小サンプル抽出モデル”を紹介しています(図4)。

 図4を一見して明らかなように、自動化、すなわち、システム化されたコントロールでは、テスト負荷を相当程度、圧縮できます。ただし、自動化されたコントロールの場合、「常にIT全般統制が十分に機能していること」が条件である点に注意が必要です。

 IT全般統制は、業務処理統制が有効に機能する前提となるものです。例えば、IT全般統制であるプログラムの変更管理が十分でない場合には、プログラムとして組み込まれた業務処理統制がいつの間にか効力を失っている可能性が排除できず、サンプルテストは慎重かつ厳重に行わざるを得ないことになってしまいます。そのため、テスト負荷を改善させることはできなくなります。

コントロールの自動化によるテスト負荷削減の累積効果

 以上のように、IT全般統制が充実している場合であれば、コントロールをITによって自動化すれば、テスト負荷を軽減できることがお分かりいただけたと思います。経営者による内部統制報告書の提出は毎年行われますから、このコントロールの評価も毎年行われる必要があります。そこで、手作業によるコントロールをITによる自動化コントロールに置き換えると、その翌年から置き換えられた範囲でテスト負荷が軽減され、その違いは毎年毎年、累積して行くことになります。

 一般的に、作業の信頼性向上とそのために要する費用とは比例関係にあります。経済理論的には、最終的(限界的)にはいくら費用をかけても効果が上がらない状況に陥ることになっています。

 内部統制の構築運用に関しては、しばらくは、そこまで行き着く状況にはないと思われます。初期費用で手作業を自動化すれば、内部統制の日常的な運用に必要な人手が不要になり、毎年のテスト負荷も大幅に下がります。費用をかけても効果が上がらないどころか、自動化のための初期コストさえ惜しまなければ、その効果は継続して現れるという状況が期待できます。このように、内部統制の構築維持に関しては、統制のIT化がコントロールの信頼性という面だけでなく、費用対効果という経済効率の面においても非常に有益です。

 2回にわたり内部統制とITの関わりについて概説しました。ITが企業活動の基盤となり、「ITに対する統制」が重視される一方で、「ITによる統制」がコントロールの信頼性につながるという構造をご理解いただけたかと思います。次回からはコントロールに関する種々の類型を考察しリスク・コントロールの適用の考え方について概観したいと思います。

次回へ

深見 浩一郎(ふかみ こういちろう)
深見公認会計士事務所/コンサルティング・ネットワークITAS代表。大手都市銀行を経て,国内大手監査法人マネジメントコンサルティング室長,外資系コンサルティング会社ERP担当マネージング・ダイレクター等を経て,現職。一昨年から公認会計士,システム監査技術者,システム・コンサルタントによるネットワークITASを創設。内部統制構築,IT統制整備に関するコンサルティング・サービス,メソドロジーの教育研修を展開。