会社法や金融商品取引法(日本版SOX法)で求められる、内部統制システムの概要・構築(フローチャート・内部監査・文書化等)の解説サイト

内部統制入門Navi  »  内部統制の構築  »  ITの活用  »  CIOとIT部門

CIOとIT部門

IT統制とIT部門

 内部統制の整備を進める上で先ず最初にすべきことは、財務報告に係る内部統制整備の全体を理解し会社の基本方針を固め、全体統制整備と業務プロセス統制の対象範囲を決定することです。
 これらの作業には監査人(監査法人)の適切なアドバイスが不可欠で、そのためには内部統制に関する自らの意見を持ち、コミュニケーションにより監査人との信頼関係を築き、会社の方針を伝えて行く事が大切になります。

 対象範囲を初期段階で確定することで、必要な施策を過不足なく実施することができ、作業のやり直しも防げ、余分な工程をかけずに、効率的に整備を行うことができます。
 逆に範囲が曖昧のままでは、際限なく作業範囲が拡大してしまう可能性があります。法で義務付けられているのは『財務報告に係る内部統制』であり、財務報告の信頼性確保に係るシステム整備が最優先されるべきで、『ことのついでに』といろいろ欲張るとタイムオーバーとなってしまう可能性もあります。

 内部統制の整備で、IT部門に求められる対応は多岐にわたり、作業負担も大きなものとなります。人手不足から、臨時的に社内からかき集められた者数名で、現状業務を兼務しながら切り抜けるのは困難であることを覚悟しておかなければなりません。
 また、内部統制報告の作成や監査は1回だけでなく、継続して行なわれますので、その指摘改善事項への対応やさらなるレベルアップの取り組みなど、様々な作業が継続して発生する可能性があることを想定しておかなければなりません。

CIO(最高情報責任者)の役割

 重要なビジネスプロセスで、ITが中心的な役割を担っている場合が多くありますが、ITには環境整備や適正な運用管理の確保など、各企業では以前からこのような課題がありましたが、コスト高などの理由からその取り組みは、なかなか本格化されないケースもありました。しかし、日本版SOX法などの法制度化により時間制限が設けられたことで、企業はその対応が必須とされ、優先的・本格的な取り組みが求められるようになりました。

 日本版SOX法の施行により、IT部門がこれまでの業務作業におけるコスト削減やサービスの向上などに間接的に貢献して行くという任務に加え、企業活動の適正性の確保やその保証のための仕組みの提供という任務も求められ、IT部門やCIO(最高情報責任者)の役割がかつてないほど重要になっています。

CIO(最高情報責任者),IT

 

  企業には、コスト削減などを軸にした守りのIT戦略から、企業の成長基盤となる高い情報システムの確立という攻めのIT戦略への転換が求められ、その中心となるのがCIOになるのです。

IT部門の役割

 現在では財務報告に関わるデータについて、ほとんどの企業で既にIT化され、IT自体が業務プロセスの内部統制を担うシステム・コントロールとして活用されています。
 このような状況の中で、内部統制におけるIT部門の役割としては、先ず日々アプリケーションシステムの開発・変更時にシステム文書類を最新の状態に整備することが挙げられます。

 次に、ユーザー側で進める業務プロセス統制の中に含まれている、システム関連のリスクとコントロールの評価支援が挙げられます。
 システム関連のリスクとコントロールは、専門的な技術や知識が求められますので、各業務部門では、その評価が困難な場合が多々あります。その様な場合に、IT部門が評価の仕方をアドバイスしたり評価を共同で行なうことで、適切な評価が実現できます。
 また、業務プロセス統制の監査時にも技術的な内容について、監査人から説明を求められること間々あります。

 IT統制においてコントロールに不備がある場合、そのコントロールの見直しや改善策を講ずる必要がありますが、この修正の選択は、基本的に業務プロセスのオーナーの責任で決定されます。しかしながら、IT部門は本来の役割として、改善策の実施つまりシステムのメンテナンスを受け持ち、必要に応じて専門的な立場からのアドバイス等を行ないます。

アウトソーシング

 IT関連について、コストや人材面等からアウトソーシングしている場合に、実質的に丸投げしてしまっていると、内部統制の意図が伝わらなかったり、必要なコントロールが組み込まれているのか、組み込まれていても機能しているのか、社内で判断がつかなくなってしまうという問題が起こる可能性があります。

 外部にアウトソーシングする場合においても、委託先に対してイニシアティブを持って日常的に牽制できる関係に保つことが重要となります。そのためには、最新のプログラムソースも設計書やテストの開発ドキュメントと同様、社内へ納入してもらうなど、ブラック・ボックス化を普段から防ぐように、心掛け運用に当たることが必要になります。

 

トラックバック(0)

トラックバックURL: http://www.internalcontrol-navi.com/mt/mt-tb.cgi/774