内部統制におけるITの利用
ITを利用せずに事業活動を行っている会社は皆無といってよく、また、ITは内部統制にしっかりと組み込まれているはずです。では、内部統制のどの部分がITによるもので、どのように管理しているかを説明することができるでしょうか。
J-SOX監査を受ける場合などでは、証跡とともに説明が求められますので、まず自社の内部統制の全体像を理解していることが必要になります。
この時、「内部統制のデザイン」を意識していただくと比較的容易に説明できると思います。
「内部統制のデザイン」とは
内部統制は、統制という行為の集合体ともいえます。統制は、業務のなかに潜在するリスク(目的の達成を阻害する要因)を軽減するために仕組まれたものです。ここでいう目的は、「財務報告の信頼性」になります。
統制は、手作業による統制(以下、手作業統制)とITによる統制(以下、IT統制)の大きく二つに区分されます。
内部統制は手作業統制だけという会社はないと思われます。財務報告に係るプロセスでは、会計処理すべき取引の資料やデータなど情報が多いことから、ITを利用することでより正確かつスピーディに業務処理を行っているはずです。ここにIT統制が存在することになります。
確認や照合といったいわゆる人間の目による手作業統制と、さまざまな情報をシステムに取り込んで電子化する際に一定の縛りを設けるIT統制、この二つをバランスよく内部統制に組み込むことで、無駄のない効率的で効果的な内部統制になるはずです。これが「内部統制のデザイン」と呼ばれているものです。
IT統制と手作業統制のバランス
例えば、単純な販売プロセスを考えてみましょう。営業担当者が顧客から発注を受け、物流担当者が製品を出荷し、顧客から受領書を受け取るというプロセスを想定します。また、販売システムには、受注情報、製品情報、単価情報、出荷情報、納品情報が格納され、会計システムに月次で売上計上の会計仕訳を入力しているとします。
売上計上するためには、売上データの月次合計値が必要です。この月次合計値は、販売システムに格納されているデータから、どのようなシステム機能を利用して生成されているのでしょうか。
- 売上データを、当月分だけ集計する機能
- 売上データについて、取引する製品を正確に製品マスターから抽出する機能、正しい単価を単価マスターから抽出する機能、受注情報から正確な数量データを抽出する機能
- 正しい受注情報、出荷情報、納品情報が入力されるように、適切な入力権限保有者が、正しいデータを、数値や文字といった適切な形式で入力させるための機能
- 各マスター、入力されたデータを保全・管理する機能
このように、販売システムは、システムによる演算機能、データ入力時の縛り機能(アクセス権、入力画面)、データ保全・管理機能(バックアップなど)などを利用しており、随所にIT統制が存在していることがわかります。
一方で、そもそも販売システムのデータが正しいかどうかというと、当初の入力情報だけでは不完全な場合があります。何らかの事情で情報が届かずに、取引内容の変更や出荷情報、納品情報がタイムリーに反映されていないことは実務上想定されると思います。
また、もし売上の集計結果について、人手によって再計算し、その正確性を確認する行為をしていた場合、それは手作業統制になります。確認する資料は販売システムの出力機能を利用するため、IT統制と組み合わされた手作業統制になります。
さて、ではIT統制と手作業統制のバランスはどこでとればよいのか。そのポイントは二つあると考えます。
- リスクの程度
業務フロー上でリスクが高いポイントには、システムを利用してIT統制に依拠する方が、人的リソースを投入するよりも、効果的でかつコストメリットがあるケースも考えられます。 - 統制の負荷
確認・照合といった統制作業の負荷が軽い場合や、一つの手作業統制で多くのリスクが軽減できる場合、手作業統制に依拠する方が、効果的でかつコストメリットがあるケースも考えられます。
内部統制は結局、各社のオーダーメイドです。「内部統制のデザイン」という視点、「IT統制」というシステム面から内部統制を構築、見直しをしてみてはいかがでしょうか。
※当コラムの内容は個人的な見解であり、BBSの公式見解ではありません。
