内部統制(J-SOX・不正防止)対応支援
上場企業には金融商品取引法に基づく内部統制報告制度(J-SOX)により内部統制報告書の提出が義務付けられています。もし、システムリプレイス時に財務報告の信頼性を担保する内部統制の整備を意識しないで要件定義などを進めてしまうと、J-SOX対応が適切になされずに問題が発生し、事後的な対処に追われることになりかねません。このコラムでは、内部統制の重要な要素であるIT統制についてシステムリプレイス時に考慮すべき点に焦点を当てていきます。
IT統制に関する統制目標(ITの統制を有効なものとするために経営者が設定する目標)について、企業会計審議会が公表している「財務報告に係る内部統制の評価及び監査に関する実施基準」では以下のように説明されています。
とくにJ-SOX対応では財務報告にかかる「信頼性」を確保するためにITの統制を整備することが求められているため、その構成要素である正当性、完全性、正確性について留意点を解説します。
正当性とは、取り引きが組織の意思・意図に沿って承認され、行われることです。
昨今のシステムリプレイスにおいては、パッケージソフトウェアを導入するケースが増えてきており、パッケージソフトに標準搭載されているワークフローの機能(標準機能)を利用してシステムを構築することが多くなってきています。また、業務の大半をシステム内のワークフローによって運用することも一般的になってきています。このような場合、J-SOX対応においてもシステム内における承認をコントロールとして識別することとなります。しかし、現場での運用においては紙による承認行為も重要なコントロールとなっている場合があり、複数の承認フローがあるにもかかわらず、システム承認についてのみJ-SOXの資料上に反映させているケースを目にすることが増えてきています。
このような場合、J-SOX対応において、紙での承認行為が適切に行われているかという検証が漏れてしまうリスクが生じます。
改善策として、システムリプレイス時、紙での承認行為についてシステム承認に移行できないかを検討することが考えられます。パッケージソフトウェアの選定時には、企業の組織階層や承認経路を確認したうえでワークフローの標準機能や、アドオン、カスタマイズで対応可能か否かを費用便益も踏まえて確認することが重要です。
なお、システム承認への移行が困難な場合は、紙での承認もJ-SOXの資料上に反映させることが必要になります。システムによる承認とそれ以外による承認でJ-SOX対応の部門が分かれている場合は、両者の区分が適切になされているかを検討すると良いでしょう。
完全性とは、記録した取り引きに漏れ、重複がないことです。
システムリプレイス時には、リプレイス対象となるシステムと、そのシステムとインターフェイスを行うシステム間のデータのやり取りについて、必要な取引データが双方に適切に保持されていることが必要となります。
しかしながら、システム間で取引データのインターフェイスを行う際に、データの出力側と入力側でデータの保存期間に差異があり、出力側のシステムのデータの保存期間が入力側より短いため、データが事後的に確認できなくなってしまうことがあります。さらに、入力側のシステムに本来保存しておくべき情報が網羅的にインターフェイスされていないために、必要なデータが保持されていない場合もあります。
その結果、必要なデータがないままJ-SOX対応が行われ、当該データの検証が実施できず不備が発生するリスクが生じてしまいます。
改善策として、システム間で取引データのインターフェイスを行う際は入力側のシステムで保存しておくべき情報を網羅的に把握することと、入力側・出力側双方のシステムのデータ保存期間を合わせて事後的に確認できるようにすることが挙げられます。なお、これらのデータはJ-SOX対応以外にも法人税法などの各種法令でも保存が求められますが、保存が必要な期間は法令などによって異なる場合があるので注意が必要です。
正確性とは、発生した取り引きが財務や科目分類などの主要なデータ項目に正しく記録されることです。
システムリプレイス時に、内容を十分に整理しないまま、現行システムから新システムへマスタデータを移行しているケースが多く見られます。このような場合、実際には全く使われていないマスタデータも新システム内で引き続き保持されてしまい、新システムにおける入力時のマスタ検索機能の使い勝手が現行システムよりも低下し、新システム内における正確性の担保が難しくなるリスクが生じます。
これを解決するためには、データ移行の際に不要なデータのクレンジングを適切に行うことが肝要です。一方、過去の帳簿データの保存の観点から、現在使用されていないマスタデータも含めて移行が必要な場合もあります。よって、さまざまな観点からあるべきマスタデータの移行のかたちを検討する必要があります。
財務報告の信頼性は、ITの利用および統制を度外視しては考えることのできないものとされています。システムリプレイス時に内部統制を適切に整備してJ-SOXにスムーズに対応し、ITシステムの利活用を進めていきましょう。
※当コラムの内容は私見であり、BBSの公式見解ではありません。