業務概要

企業を取り巻く環境の変化

最近では、さまざまなITサービス、業務アプリケーションやソフトウェアサービスが日々進化し、SaaSに代表されるようなクラウドサービスやベンダー独自の機能の追加や拡充、システム間の連携など企業が業務を遂行するうえで活用するのが当たり前の時代になっています。
このようなITサービスがなければ、企業活動に支障が出ることもあり、ITは企業活動にとって不可欠な要素となっています。そのため、企業の目的に沿ったIT戦略やIT投資は非常に重要ですし、導入後においてもITに関する組織的な判断や運用体制の構築といったIT統制もより重要性を増しています。

さらに、これらのITサービスの開発・運用・保守などITに関する業務の全て又は一部を、自社対応ではなく外部委託するケースもあり、委託業務に係る統制の重要性も増しています。さらに、クラウドやリモートアクセス等の様々な技術を活用するに当たっては、サイバーリスクの高まり等を踏まえ、情報システムに係るセキュリティの確保が重要となってきています。これらの環境の変化を受けて、内部統制報告制度（J-SOX）についても2024年4月1日以後開始する事業年度から改訂されています。

IT統制とは

上場会社及び上場準備会社における監査法人の監査では、ITを含む内部統制の評価を行い、その結果により監査リスクを評価し、具体的な監査手続の選択・適用がなされます（J-SOX監査含む）。
内部統制の評価におけるIT統制（ITによる内部統制）は、「IT全社統制」「IT全般統制」「IT業務処理統制」の3つに分類されます。それぞれ簡潔に説明すると以下のとおりです。

①IT全社統制

財務報告に係る全社的な内部統制（全社統制）の要素のうち、「ITへの対応」の有効性に影響を及ぼす統制活動を指し、例えば、以下のような評価項目が挙げられます。

・経営者は、ITに関する適切な戦略、計画等を定めているか。
・経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。

②IT全般統制

IT全般統制は自動化された情報処理統制の継続した機能の維持に関する内部統制であり、業務処理統制が有効に機能する環境を保証するための統制活動です。なお、ITGC（アイティージーシー、Information Technology General Controlの略）と省略して呼ばれる場合もあります。
ITに係る全般統制の具体例としては、以下のような項目が挙げられます。

・システムの開発、保守に係る管理
・システムの運用・管理
・内外からのアクセス管理などシステムの安全性の確保
・外部委託に関する契約の管理

上記について、個人的には、IT全般統制と「IT」とついていますが、ITというよりヒトの活動に焦点が当たる部分が多いと考えています。（もちろんアクセスコントロールといったITの部分はありますが。）
なお、IT全般統制は、通常、業務を管理するシステムを支援するIT基盤（ハードウェア、ソフトウェア、ネットワーク等）を単位として構築することになります。

③IT業務処理統制

IT業務処理統制とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制です。簡単に言えば、主に取引データ等の処理に関する内部統制を指します。

ここで注意してほしいのは「業務処理統制＝ITによって自動化された内部統制」ではないということです。会社規模や利用方法によって状況は異なりますが、いわゆる自動化されたITに係る業務処理統制だけでなく、一部、ITシステムに組み込まれていない「手作業によるITに係る業務処理統制」が存在しているケースも多くあります。

また、IT全般統制との関係ですが、IT業務処理統制はIT全般統制によってその信頼性が担保されているということになります。（IT全般統制が有効でない場合、そのIT業務処理統制も信頼できないということです。）
なお、IT業務処理統制も「ITAC（アイティーエーシー、IT Application Controlの略）と省略して呼ばれる場合があります。

IT業務処理統制が有効であるかは、例えば以下の項目を評価します。

・入力情報の完全性、正確性、正当性等が確保されているか。
・エラーデータの修正と再処理の機能が確保されているか。
・マスタ・データの正確性が確保されているか。
・システムの利用に関する認証・操作範囲の限定など適切なアクセス管理がなされているか。

IT統制の有効性の評価

IT統制については、上述のIT全社統制から順に有効性を評価する必要があります。というのも、全社的な内部統制に不備がある場合、内部統制の有効性に重要な影響を及ぼす可能性が高いためであり、また、全社的な内部統制の不備は、そもそもの企業の根幹の部分になりますのでいわゆる開示すべき重要な不備に該当することもあります。
IT全般統制の不備は、財務報告の重要な事項に虚偽記載が発生するリスクに直接に繋がるものではないため、直ちに開示すべき重要な不備と評価されるものではないですが、IT業務処理統制の有効性に疑義が生じることとなり、結果的に監査法人のテストサンプル数が増加するなど追加的な対応が必要となることがあります。
IT業務処理統制の不備については、業務プロセスに係る内部統制に不備がある場合と同様に、その影響度と発生可能性の評価を行いますが、自動化された部分から生じている場合には、同じ種類の誤りが繰り返されている可能性がありますので、注意が必要です。

なお、前述のとおり、企業にITの利用があっても、例えばIT業務処理統制を把握したところ、財務報告プロセスに関連するものがない、手作業による統制しか存在しない、そもそも利用が限定的であり、安定度も高いなどの状況であれば、必ずしもすべてのITによる業務処理に対してIT特有の手続を実施しなければならないということではありません。

具体的な作業の流れ（一例）

響きパートナーズでは、まず基礎資料としてITの概要が分かる資料をご提出頂き検討しますが、上場準備会社の場合や上場会社であっても、さまざま事情により専任の情報システム担当者がいない場合も多くあります。その場合には、管理部門の責任者（CFO含む）へヒアリングを実施し、弊社でITに関する情報を網羅的に整理いたします。その情報をもとに、IT業務処理統制やIT全般統制となる基盤を特定したうえで、当該ITを利用する業務担当者や管理担当者へのヒアリングや業務マニュアルの閲覧を通して、IT業務処理統制及びIT全般統制を把握します。
これらを理解した結果、もしIT全般統制の評価自体が必要ない、もしくはリスクが低いため限定的に評価するのみで十分である等の場合には、可能な限り貴社の負担が最小限となるよう監査法人と協議したうえで、監査法人によるIT監査に耐えうる実務体制、評価体制の構築を支援いたします。具体的にはIT全般統制チェックリストの作成や統制活動の整備などを支援いたします。
また、IT業務処理統制については、業務プロセス、取引プロセスを理解し、想定されるリスクを把握したうえで対応する業務処理統制を識別します。また、いわゆる3点セットにおいて、当該業務プロセスを記載し文書化します。評価手続においては、サンプルテストや例外処理レポートのレビューなど必要な手続きを立案し、実施いたします。
なお、IT全社統制については、全社統制の中で実施することが一般的ですが、アドバイスや実務支援が必要であればニーズに応じて柔軟にご支援することが可能です。