企業が基幹システムや会計システムなど、財務報告に関連するシステムをリプレイスする場合、その影響は単なるIT環境の変更にとどまりません。多くの場合、データ入力方法・承認プロセスなどが変わるため、J-SOX(内部統制報告制度)の観点では内部統制への影響を整理し、必要に応じて統制の構築の見直しや評価を行うことになります。特に売上や購買などの重要業務プロセスに関係するシステムの変更は、監査上も重要な論点となります。
重要なポイントは、システム変更=統制変更の可能性があるという点です。例えば、従来は担当者が手作業でチェックしていた統制が、新システムでは入力制御やワークフローなどの自動統制に置き換わるケースがあります。また、ERPやクラウドシステムを導入する場合は、アクセス権管理や変更管理といったIT全般統制(ITGC)の対象も変わる可能性があります。
本記事では、システム変更による内部統制評価の対応について、内部統制担当者として何を行うべきか、実務上のポイントを解説します。
新システム稼働前の検討事項(影響範囲)
それでは、実際にシステムリプレイスが決定した段階で、内部統制担当者として稼働前にとりかかるべき事項を確認していきましょう。主に、次の観点を整理する必要があります。
・どの業務プロセスに影響するか
→新システムの導入により、どの業務プロセスに変更が発生するか把握します。
(例)基幹システム→販売管理プロセス
・統制内容は変更されるか
→対象となる業務プロセスに設定している既存の統制(コントロール)が変更される可能性が高いです。特に、手入力処理からシステム処理に変更になる場合、手動統制から自動統制へ変更となるとIT業務処理統制の対象になります。
(例)請求書の自動作成(請求漏れ・改ざんの抑止)
・新システムはJ-SOX評価対象となる
→新システムはIT全般統制の評価対象になります。
これらをシステム稼働前に整理しておくことで、システム稼働後の評価対応の着手が速やかになります。具体的には、システムリプレイスを担当している情報システム部門に対するインタビューや資料の提供を受けることで、既存の3点セットを更新します。こちらは、次の目次で、内部統制の再構築として取り扱います。
その他、効率的に進める上で留意すべき内容は以下になります。
■情報システム部門との連携
新システム導入の影響を円滑に内部統制へ反映させるためには、システムリプレイスを担当している情報システム部門またはプロジェクトチームと情報共有できるように体制を組むことが重要と考えます。一例ですが、システムリプレイスのプロジェクトチームの定例会議に内部統制担当者が参加しているケースがあります。プロジェクトの進捗が計画通りであるかが内部統制評価スケジュールに直接影響するためです。
■内部統制の再構築および評価のスケジュール作成
情報システム部門より新システム稼働時期を確認できましたら、スケジュール表を用意します。新システムの稼働前に内部統制の再構築を完了させ、稼働後は評価対象期間に設定します。
新システムの導入の影響を内部統制評価に反映させるには、システムリプレイス実施担当者の協力が重要になります。稼働前に3点セットの更新を完了できると、その後の評価対応をスムーズに進めることができます。
新システム稼働前の検討事項(再構築)
本目次では、システムリプレイスに伴う変更点を3点セットへ反映する方法についてステップに分けて解説していきます。
第1ステップ:業務フロー(業務プロセス統制)の再整理
まず、システム変更により業務プロセスがどのように変わるのかを整理します。具体的には、現行業務(As-Is)と新業務(To-Be)を比較し、変更点を明確にします。この段階では、情報システム部門の他、対象の業務プロセスの業務部門(販売、購買、経理など)の関係者へのヒアリングが必要です。1度で終わらないことが多いため、複数回の実施も視野に入れましょう。また、担当者へのヒアリングに加え、新システムで使用される帳票、システム画面およびマニュアル等を確認することで理解の助けになります。必要に応じて、当該サンプルも依頼すると良いです。
・主な確認点:データの入出力および処理(演算)方法、承認申請プロセス、システム間のデータ連携
ヒアリングした内容を踏まえ、業務記述書と業務フロー図を更新します。RCM(リスク・コントロール・マトリクス)は、業務変更に伴い新たなリスクが発生していないかを確認し、必要に応じてリスクの再識別を行います。
第2ステップ:統制活動の再設計(キーコントロール)
次に、業務プロセスの変更点を踏まえて統制(コントロール)を再設計します。これまでの手動統制が自動統制に置き換わる場合が多いです。この場合は、IT業務処理統制の対象になります。文書としては、業務プロセス統制の中でIT業務処理統制のコントロールを設定することで問題ありません。なお、先の評価を見据えて、この時点で母集団の検討を実施することが望ましいです。業務部門担当者へ、どんな資料を母集団データとして提出できるか相談が必要になります。
第3ステップ:IT全般統制の再整理
新システムのIT全般統制について、こちらは新規で評価調書を作成する必要があります。システムリプレイス実施担当者に規程や細則、運用マニュアル等を依頼すると共に、システム管理状況についてヒアリングの場を設けましょう。また、ヒアリング内容は評価調書にとりまとめますが、システムリプレイス時は運用ルールが定まってないケースが多くみられます。評価期間に入ってからの対応も予想されます。
再構築は、3点セット(業務記述書、業務フロー図およびRCM)の更新を行う必要があります。統制(コントロール)の見直しは、評価手続きを見直すことになります。
新システム稼働後の対応事項(評価)
本目次では、新システム稼働後の内部統制の評価方法について解説していきます。なお、初年度の評価において、期中のシステムリプレイスの前後で業務フローが異なります。その結果、3点セットにおける統制(コントロール)と評価手続も異なるため、旧システム利用時の評価と新システム稼働後の両方の評価を行う必要があります。
評価対応において留意すべき点は以下になります。
①評価対象期間の違い
旧システム利用時と新システム稼働後でそれぞれの評価対象期間が分かれます。特に運用状況評価の対象期間が該当します。母集団データの抽出期間が異なる点は注意する必要があります。なお、整備状況評価は期末時点における整備状況の確認であるため、新システム稼働後の評価手続を検証するのみで問題ありません。
②評価時期の整理
既存の評価調書(旧システム利用時)の評価時期は、新システム稼働後に実施して問題ありません。実務では、システムの切り替え時期を踏まえ、評価時期を見込みの上で、監査法人の往査時期を交渉・相談します。
③評価の実施
稼働時期が期末に近い場合、新システム稼働後の評価対象期間が短くなるケースが多いです。それにより、業務部門または情報システム部門への証憑収集の負担が予想されます。
例えば、以下のようなイメージでスケジュールを組み立てます。
【例】
新システムの稼働月が10月で、3月末決算を想定し、例を挙げます。3月に監査法人に経営者評価の結果を提出する場合、2月に証憑収集を行います。新システムでの母集団データの抽出期間は、前年の10月1日から当年の1月31日までに設定します。旧システムでの母集団データの抽出期間は前年の4月1日から9月30日になります。評価対象期間については、こうした見通しを持って監査法人と合意を形成することになります。
システムリプレイスの稼働時期の遅れが内部統制評価のスケジュールに直接影響を与えます。関連部署と連携をとりつつ、証憑収集を実施することが重要です。
監査対応の留意点~監査法人が確認するポイント~
本目次では、システムリプレイス時に業務プロセス統制を構築する中で、監査法人が指摘する実務上のポイントを解説していきます。上記の内部統制再構築・評価の解説と関連し、監査法人が確認したいポイントを整理していきます。以下の内容は、経営者評価における再構築・評価の検証の位置づけと捉えることもできます。
ポイント1:システム変更の影響範囲の整理
システム変更がどの業務プロセスに影響するのかという点を確認します。特に、売上、売掛金、棚卸資産などの重要業務プロセスに影響があるかどうかを確認します。評価範囲自体が変わらない場合でも、業務フローやデータ処理の方法が変更されていないかを確認するため、影響分析が求められる場合が多いです。監査法人によっては、指定の影響分析シートの入力が求められます。
ポイント2:キーコントロールの変更内容
システムリプレイスにより、従来の手作業統制が自動統制に置き換わることや、承認フローがシステム化されることがあります。監査法人は旧統制との違いが整理されているかを確認します。
ポイント3:IT全般統制(ITGC)の整備状況
新しいシステムが導入される場合、IT全般統制の対象システムも変わる可能性があります。特に、アクセス権管理(権限設定や職務分掌)、変更管理(システム改修の承認・記録)および運用管理(バックアップ、障害対応など)の統制は重点的に確認されます。これらが適切に整備されていない場合、IT業務処理統制(自動統制)の信頼性にも影響が及ぶため注意が必要です。
ポイント4:3点セットの更新状況
監査法人は、業務記述書、業務フロー図、RCMが新しい業務プロセスに合わせて更新されているかを確認します。文書が旧仕様のままになっているケースは、実務上よく指摘されるポイントです。
ポイント5:新統制の評価手続
新しい統制に対する評価手続(整備状況評価および運用状況評価)を実施します。期中にシステムが稼働した場合は、評価期間の設定や並行稼働の扱いについても整理が必要です。
システムリプレイス時のJ-SOX対応では、評価対象、文書化および統制と評価手続きの各観点から整理を行うことが重要です。システム導入プロジェクトの段階から内部統制への影響を検討しておくことで、監査対応も円滑に進めることができます。
まとめ
システムリプレイスが内部統制評価に与える影響について、内部統制担当者として対応すべき事項があります。新システム導入スケジュールと監査スケジュールを調整し、情報システム部門や各業務部門と連携しながら、内部統制対応を進めていくことが求められます。
■新システム稼働前の検討事項(影響範囲)
・影響を受ける業務プロセスやIT統制の範囲および統制の変更点を整理する必要がある。
・情報システム部門や業務部門との連携とスケジュール管理が必要である。
■新システム稼働前の検討事項(再構築)
・統制の変更点を考慮した業務記述書・業務フロー図・RCMの更新を行う。
・新システムはIT全般統制の対象となり、評価調書の作成を行う。
■新システム稼働後の対応事項(評価)
・運用状況評価は、旧/新システムで評価対象期間が異なる。
・評価時期は監査法人の往査時期と調整して決定する。
■監査対応の留意点~監査法人が確認するポイント~
・システム変更の影響範囲および統制の変更点を確認する。
・システム変更を反映した文書の整備を確認する。
