IT統制の構築と評価は誰が行うのか?~IT統制を巡る内部監査部門の役割

2019年05月23日

 

3月決算の上場企業においては、そろそろ今期の内部統制評価スケジュールを考える頃になるかと思います。内部統制の評価は、6月頃に評価範囲を決めて、整備状況評価、運用状況評価と進めていくことになります。評価作業が開始される7月に向けて、評価の体制を決め、具体的な作業スケジュールを作成しなけければなりませんが、評価の体制を考える際に少々悩ましいのがIT統制の評価です。一般に、IT統制の評価には、IT技術に対する高度な専門知識が求められると考えられており、誰がIT統制を評価するのか悩む企業も少なくないようです。
今回は、IT統制を巡る内部監査部門の役割について考えてみたいと思います。

 


IT統制評価で必要となる知識とは?

J-SOX内部統制報告制度では、ITリスクへのコントロールの仕組みを構築し、ITにおけるコントロールの仕組み、つまりIT統制の状況を評価することが求められています。上場企業は、毎年、IT統制を構築してIT統制を評価する必要があります。
IT統制の構築と評価
IT統制の構築…ITリスクを管理し、ITリスクに対するコントロールの仕組みを構築する。
IT統制の評価…ITリスクへの統制の仕組みが整備され、運用されていることを確認する。
IT統制には、IT全社統制、IT全般統制、IT業務処理統制の3つがあり、企業は、ITに関する方針を定め、ITシステム毎にシステムの開発や変更管理、アクセス管理等のルールを定めて、ITを利用した自動統制の仕組みの有効性を確保しなければなりません。そして、J-SOXの評価作業においては、ITの方針やITリスクの管理体制が整備されているかどうか、方針やルール通りにITのコントロールが行われているかどうかを企業自ら評価することになります。IT統制を構築するためには、ITが関連する業務を把握し、ITリスクとそのコントロールに対する専門知識がどうしても必要となります。そしてIT統制の評価も同様に、ITに関する高度な知識や経験がないと対応できないと一般には考えられています。確かに、ITに対する高度な知識があった方がないよりは良いのかもしれませんが、ITに対する高度な知識がないとIT統制を評価することができないという考えは甚だ疑問です。なぜなら、IT統制の評価には、内部統制評価の知識は必要不可欠ですが、プログラム言語等のIT技術に関する知識は不要であるからです。IT統制の評価ポイントさえ押さえておけば、必ずしもIT知識は必要ないのです。

 

IT統制評価に関する内部監査部門の悩み

企業の内部監査部門は、内部統制評価(J-SOX対応)と内部監査の2つをミッションとする部門です。内部統制の評価にはIT統制の評価も含まれますので、内部監査部門が主体的に評価作業を進めるべきです。
しかしながら、多くの内部監査部門では、
・内部監査部門に経理や業務関連の経験者が多く、ITに詳しい人材が少ない・・・
・ITと聞くと敬遠してしまう等、そもそもIT統制に苦手意識がある・・・
・IT統制の評価方法が分からず、監査法人に言われるがまま対応するしかない・・・
・内部統制の構築時から、情報システム部門に任せっきりになっている・・・
との悩みを抱え、IT統制の評価については、情報システム部門が対応しているという企業も少なくありません。
情報システム部門は、企業のITシステムの仕組みを構築し、その仕組みが円滑に運用されるようにサポートすることをミッションとしたITに関するエキスパートです。ITに対する専門知識を持つ情報システム部門がIT統制の評価まで担当する方が効果的であり、確かに経理や業務部門を出身母体とする内部監査部門の担当者より適任なのかもしれません。しかしながら、IT統制の評価を情報システム部門に任せるのは、メリットがある一方でデメリットもあります。IT統制の評価は、決して情報システム部門でないと担当できないものではなく、経理等の出身者で構成される内部監査部門でも十分担えるものなのです。

 

IT統制評価部門を巡るメリット・デメリット

IT統制の評価は、内部監査部門、情報システム部門のどちらが担当するのが理想的なのでしょうか?IT統制の評価主体をどちらが担当すべきか、そこにはメリット・デメリットがそれぞれあります。
内部監査部門がIT統制評価を担当するメリット・デメリット
■内部監査部門によるメリット
‣第三者的な立場からIT部門の評価を実施するため、独立性が担保される。
‣会社全体の内部統制を把握しており、業務・ITの両面を踏まえた対応ができる。
■内部監査部門によるデメリット
‣IT技術が乏しいことから、ITに係るリスクやコントロールを設定することが難しい。
‣評価ポイントを把握していないと、 IT統制の要件に合致しない評価になってしまう。
情報システム部門がIT統制評価を担当するメリット・デメリット
■情報システム部門によるメリット
‣IT技術を有し、ITリスクを踏まえたコントロールの設定等、IT統制の構築ができる。
‣自社のITリスクや管理状況を鑑み、課題や対策(コントロール)を検討・実施する。
■情報システム部門によるデメリット
‣自部門を評価する自己点検になるため、評価の独立性を担保することができない。
‣IT技術に係るリスクに偏り、J-SOXから逸脱した評価になってしまう可能性がある。

 

IT統制を巡る内部監査部門の役割

そもそもIT統制を巡る内部監査部門の役割はどうあるべきなのでしょうか?IT統制評価を効果的に進めるためには、内部監査部門と情報システム部門の役割はどうあるべきなのでしょうか?
IT統制の評価を内部監査部門、情報システム部門のいずれが担当すべきかについては、それぞれメリット・デメリットがあり、一概にどちらと決めるべきものではないのかもしれません。しかしながら内部統制の評価は、監査と同列であって、評価(監査)の結果に客観的な信頼性がなければなりません。そもそも評価(監査)は、評価(監査)対象から独立した第三者が担当することによって意味があるのです。評価結果に信頼性という価値が生まれるのです。そういった意味では、IT統制の評価は、評価対象である情報システム部門から独立した内部
監査部門が担当すべきと言えます。“自己監査は監査にあらず”という言葉があるように、自己評価では結果に信頼性が持てません。勿論、情報システム部門はITのプロなのですから、IT統制の仕組みや運用は情報システム部門が担い、IT統制の評価は、内部統制のプロである内部監査部門が担うべきです。要は、お互いの強みを活かし、お互いの協力関係の下にIT統制の対応を進めるべきです。
IT統制評価の効果的な進め方を考えた場合、
内部監査部門…IT統制に関する評価ポイントを習熟し、IT統制評価を進める。
情報システム部門…IT統制評価で抽出された課題に対する改善活動を進める。
のが理想的と言えます。IT統制の評価は、内部監査部門が評価を実施し、情報システム部門は改善活動(IT統制の構築・運用)を進めるべきです。

 

J-SOXの評価担当者にとっては、“IT”という言葉が必要以上にIT統制評価のハードルを上げてしまっているように感じます。IT統制も他の内部統制評価と変わらず、仕組みの整備状況とその運用状況を評価するものですので、評価のポイントは変わりません。すなわち、「方針や規程、体制等の仕組みはあるかどうか」「仕組みがルール通りに運用されているかどうか」を確かめるものです。改めてこの原理原則を肝に銘じて、“IT”という言葉に苦手意識を持たずに、内部監査部門が積極的にIT統制の評価を進めてみてはどうでしょうか?

 

 

まとめ

IT統制評価で必要となる知識とは?
★内部統制評価の知識は必要だが、プログラム言語等のIT技術に関する知識は不要である。
IT統制評価に関する内部監査部門の悩み
・IT統制の評価を情報システム部門に任せるのは、デメリットもある。
・高度なIT知識がない経理等の出身者の内部監査部門でも十分担える。
IT統制評価部門を巡るメリット・デメリット
■内部監査部門によるメリット・デメリット
‣第三者的な立場からIT部門の評価を実施するため、独立性が担保される。
‣会社全体の内部統制を把握しており、業務・ITの両面を踏まえた対応ができる。
‣IT技術が乏しいことから、ITに係るリスクやコントロールを設定することが難しい。
‣評価ポイントを把握していないと、 IT統制の要件に合致しない評価になってしまう。
■情報システム部門によるメリット・デメリット
‣IT技術を有し、ITリスクを踏まえたコントロールの設定等、IT統制の構築ができる。
‣自社のITリスクや管理状況を鑑み、課題や対策(コントロール)を検討・実施する。
‣自部門を評価する自己点検になるため、評価の独立性を担保することができない。
‣IT技術に係るリスクに偏り、J-SOXから逸脱した評価になってしまう可能性がある。
IT統制を巡る内部監査部門の役割
★内部監査部門が評価を実施し、情報システム部門は改善活動(ITの整備)を進める。

CONTACT

経理、監査、情報システムに関するお悩みなど
お気軽にご相談ください

お電話でのお問い合わせ
受付時間:平日10:00~19:00
お気軽にお電話ください
03-6230-9526
フォームからのお問い合わせ メルマガ登録

認証フォーム

※お名前・メールアドレスを入力するとすぐに資料がご覧いただけます。

氏名必須
メールアドレス必須