コラム｜内部統制ここが問題！現在の状況と対応へのヒント - GRANDIT（グランディット）ERPパッケージ

内部統制の対応状況

3月決算の上場企業は、日本版SOX法の本番年度にいよいよ突入しました。
この4月から6月は、上場企業も監査法人も通常の会計監査対応に追われていましたが、7月からは内部統制の評価も本格的に始まります。

今年に入り、様々な調査機関等から内部統制の対応状況に関する調査結果が公表されています。
それらの結果を見ると、2008年3月頃の時点で、文書化については、会社の規模に関わらず過半数を超える企業で対応の目処がついているようです。

一方、整備状況や運用状況の評価については、会社の規模等により準備状況の開きが出ているようです。対応中の上場企業の課題も「内部統制の評価」が会社の規模に関わらず上位になっています。

ある調査では「外部監査人との協議、折衝」も課題の上位にきています。
業務プロセスを見直し、文書化を進めてきたものの、監査人からの要求に対応しきれていないケースや監査人との意見交換ができていないケース等があるようです。
また、監査人側の対応方針がはっきりと決まっていない点を不安視する声もあるようです。

これらの状況から次のことが推測できます。

• 文書化は終了したものの、運用・評価が課題
• 外部監査人の予備調査や対応方針によって、大幅な文書類の手直しが発生する可能性あり

特に、改善に時間を要する職務分離や情報システムの機能に関する問題や評価手続き等については、できるだけ早い時期に監査人と意見交換することが重要です。

IT全般統制への対応のヒント

IT全般統制についても「どこまでやったらいいのかわからない」等の悩みが多く聞かれます。

そんなときに参考になる資料として、日本公認会計士協会が発行している「IT委員会研究報告第31号」があります。
これは、監査を受ける企業向けの資料ではなく、監査を実施する公認会計士向けの資料ですが、IT全般統制やIT業務処理統制の監査を受ける方にも非常に参考になります。
著作権の扱いに同意すれば、日本公認会計士協会のサイトから誰でもダウンロードが可能です。

企業側でもIT全般統制の整備の際に悩むことの多いアクセスログ、バックアップデータの外部保管、職務分離等に対する考え方が解説されているので、一読をお勧めします。

IT委員会研究報告第31号とは

『「IT委員会報告第3号」に対するQ&A』というタイトルの文書で、監査人（公認会計士）が「IT委員会報告第3号」(※)に基づいた監査を実施する上での留意点を解説したもの。

※IT委員会報告第3号
財務諸表監査における情報技術（IT）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続きについて［日本公認会計士協会］

次回は、当社がコンサルテーションサービスを通じてお手伝いしたお客様における、IT全般統制への対応事例を紹介します。
（次回に続く）

NECネクサソリューションズ
コンサルティング部　シニアエキスパート　日下部 公
（2008/6/9〜19「経営とITを考えるシリーズセミナー」で講演）