J-SOXの対象となる上場企業は、財務報告にかかる内部統制について対応する必要があります。
内部統制は「リスク評価・対応」や「モニタリング」など、6つの基本的要素から構成されていますが、その中の一つにITへの対応があります。J-SOXの対象企業は、ITに関する対応も行わなければなりません。
この記事では、J-SOXのIT統制について企業が取るべき対応や、対応時のポイントなどを解説します。
J-SOXのIT統制で企業が取るべき対応
IT統制は以下3つに分類され、企業はそれぞれについて適切に対応する必要があります。
ここではIT統制で企業が取るべき対応について、項目ごとに解説します。
- IT全社統制
- IT全般統制
- IT業務処理統制
IT全社統制
IT全社統制とは、企業全体(連結子会社も含む)における、ITの健全な監督・維持にかかる統制を指します。
例として、情報システムに関するルールや体制などの整備、リスク評価や対応策の実施など統制活動の周知、実施状況に関するモニタリングといった、一連の仕組み作りなどが挙げられます。
IT全般統制
IT全般統制とは、IT業務処理統制が有効に働くための環境整備や、信頼性確保などにかかる統制を指し、例としては主に以下の4つが挙げられます。
- システムの企画・開発・調達業務
- システムの運用・管理業務
- アクセス管理・セキュリティにかかる統制活動
- 外部委託にかかる統制活動
システムの企画・開発・調達業務
システムの企画・開発・調達業務は、経営者が意図した通りに情報システムを構築することを目的に行います。
企業が取り組むべき具体的な事項としては、「開発要件・変更要件の承認」「開発結果・変更結果の承認」「テストの実施」などが挙げられます。
特にシステム開発については、開発にかかる手間やコストを削減するためにも「実現させたい内容は何か」という点をあらかじめ明確化しておく必要があるでしょう。
もし上記の対応が十分に行われていない場合、以下のトラブルが生じる可能性があります。
- 保守契約を締結しないまま会計システムを新たに導入したところ、会計基準の変更にソフトウェアが対応しきれず、財務情報の正確性が乱れた
- 新規開発したシステムに関するテストが不十分だったため、会計システムと在庫管理システムの数値が一致せず、財務情報の正確性が乱れた
システムの運用・管理業務
システムの運用・管理業務は、経営者が意図した通りに情報システムを運用・管理することを目的に行います。
企業が取り組むべき具体的な事項としては、「プログラム変更にかかる事前承認」「変更履歴のログの保存」「データのバックアップ取得」などが挙げられます。
特に、プログラムの不正改ざんなどを防止するためにも、システムの運用管理者と開発担当者は分離しておくことは重要です。
もし上記の対応が十分に行われていない場合、以下のトラブルが生じる可能性があります。
- サーバーダウンについて予防措置を準備していなかったため、決算までに財務上の数値を確定することができなかった
- 当期の売上げに関するデータを誤って削除してしまい、数値の把握ができなくなった
アクセス管理・セキュリティにかかる統制活動
アクセス管理・セキュリティに関する統制活動は、意図せぬ情報の使用や改ざんの防止など、情報資産の保全を目的に行います。
企業が取り組むべき具体的な事項としては、「アクセス権限の管理設定」「パスワードの設定」「コンピューターウイルスの対策」「アクセスログの保管」などが挙げられます。
特にパスワードについては、単純な文字列では登録できないよう設定した上で、定期的に変更するよう義務付けしましょう。
もし上記の対応が十分に行われていない場合、以下のトラブルが生じる可能性があります。
- 財務データベースに不正アクセスされ、決算数字が外部に漏れてしまった
- コンピューターウイルスに感染し、データの改ざんが行われた
外部委託にかかる統制活動
外部委託に関する統制活動は、委託業務において、経営者が意図した通りに開発・運用などを実施することを目的に行います。
企業が取り組むべき具体的な事項としては、「委託業務に関する監査報告書の受取」「外部委託先に対する内部監査人・外部監査人による監査」などがあります。
特に、内部監査人・外部監査人による監査をスムーズに行うためには、契約時の段階で「監査を行う旨」についてあらかじめ盛り込んでおく必要があります。
もし上記の対応が十分に行われていない場合、以下のトラブルが生じる可能性があります。
- 外部委託先の給与計算業務システムがダウンし、人件費の計上が遅延した
IT業務処理統制
IT業務処理統制とは、経理や販売などの業務プロセス内で機能する統制を指し、例としては主に以下の3つが挙げられます。
- 自動化された業務処理統制
- 自動化された会計処理手続
- 手作業の統制に利用されるシステムより自動生成された情報
自動化された業務処理統制
「自動化された業務処理統制」とは、情報の正当性や正確性、網羅性などの確保を目的として、業務プロセス内に組み込まれた統制を指します。
例として、「入力されたデータが正しいかどうか」を確認するための、エディット・チェック機能などがあります。具体的なチェック機能としては以下のものが挙げられます。
- 妥当性チェック…支払限度額のチェック
- 実在性チェック…顧客マスターファイルに顧客レコードが登録されているかのチェック
- フォーマットチェック…日付や数値などのデータ形式のチェック
自動化された会計処理手続
「自動化された会計処理手続」とは、計算や見積もりなどの会計にかかる処理について、人間の代わりに情報システムが行う手続きを指します。例として、経理業務における会計システムのように、仕訳処理や数値計算などを自動で処理する機能などが挙げられます。
手作業の統制に利用されるシステムより自動生成された情報
「手作業の統制に利用されるシステムより自動生成された情報」とは、情報システムによって出力された情報を利用して、人間が手作業による統制活動として実施する際に用いられる情報を指します。例として、売掛金について滞留を確認する際の「年齢調査のリスト」などが挙げられます。
J-SOXのIT統制に対応する際のポイント
IT統制の対応にあたっては、特に被監査部門であるシステム部門と十分に連携を取ることがポイントです。システム部門に対して「どのような流れでシステム管理を行っているのか」などヒアリングを行い、業務内容について十分に把握することで、スムーズに対応を進めることができるでしょう。
さらに対応時は「IT知識など詳細について深掘りする」のではなく、システム業務の概要を把握した上で、リスクや評価ポイントといった要点を押さえることを意識した方が効率的に進められるでしょう。
また、ITに関する継続的な情報収集などはもちろん、監査法人と交渉を行いつつ進めることなどもポイントになります。
J-SOXのIT統制について弁護士に相談するメリット
J-SOXのIT統制は「ただ形式的に対応すればよい」というものではなく、確実に運用できるよう企業ごとに対応する必要があります。自力で対応することも不可能ではありませんが、多くの手間が取られるだけでなく、財務情報の信頼性について悪影響が生じる可能性もゼロではありません。
企業法務に注力している事務所など、J-SOXについて経験・知識の豊富な弁護士であれば、IT統制に関する対応についてサポートやアドバイスなどが望めます。弁護士に依頼することで、手間をかけずに企業ごとに適した形で問題解決が期待できるため、特に対応に慣れていない場合は任せた方が安心でしょう。
また事務所によっては、メールなどで無料相談を実施しているところもあり、積極的に活用するのも良いでしょう。
まとめ
J-SOXの対象企業となる上場企業は、「IT全社統制」「IT全般統制」「IT業務処理統制」それぞれについて対応する必要があります。もし適切に対応できていない場合、財務情報の信頼性について悪影響が生じる可能性もあります。
IT統制については、自力で行うと対応に手間がかかる上に適切に対応しきれない場合もあります。企業法務に注力している弁護士であれば、手間をかけずにスムーズな問題解決が望めるため、特に「初めてIT統制について対応する」という場合は、依頼することをおすすめします。