内部統制を意識した情報システムの構築・導入の在りかたについて

こんにちは、SI部の吉田です。

私がこれまで関わっていた業務「内部統制」の基本的な内容について、概要の一部と、
内部統制を意識した情報システムの構築・導入の在りかたについて記載します。

概要
「内部統制」に関わる法律としてJ-SOX があります。

・アメリカの企業会計不正事件を契機に平成14年7月に企業会計や財務報告の
透明性・正確性を高めることを目的とした米国企業改革法（SOX法）が制定された。

・日本では、平成18年6月に金融商品間関するルールを整備し投資家保護を目指す「金融商品取引法」が成立し、
財務諸表の内容の適正性を確保するための組織体制（内部統制）について評価した「内部統制報告書」を提出する義務が明記された。
（これがいわゆる日本版SOX法＝J-SOX法）

※平成27年5月15日の金融商品取引法等の一部を改正により、
新規上場後3年間は、内部統制報告書に関わる監査義務は免除となった（金商法第193条の2第2項第4号）。
ただし、内部統制報告書の提出自体は必要。<!–more–>
<h2>内部統制の有効性の評価</h2>
大きく「全般統制」「個別統制」「IT統制」の3種類に分類され、
これらを総括して、「内部統制報告書」を提出します。

【全社統制（CLC: Company Level Control）】
・「全社統制」とは、会社、組織レベルにおいて内部統制が有効に機能することを可能にするような仕組みや体制等、組織全体に適切な統制が存在していることを保証するための全社的な統制活動。
・全社統制が十分に構築できていない場合、従業員のモラル欠如や経営者自身の暴走・ルール無視、取締役会の経営執行の監督不足などにより不正事案の発生や経営に悪影響を及ぼす可能性が生じる。

【個別統制】
＜業務プロセス＞
・業務プロセスとは、売上や仕入等の個々の業務における一連の手続・処理の流れ及び当該プロセスに組み込まれた統制活動。
・文書化及び有効性評価の対象範囲として選定された業務プロセスについて、業務の実態に応じて細分化の上、文書化及び有効性評価を実施する。

＜決算財務報告プロセス（FCRP: Financial Control for the Report）＞
・各拠点から集約した情報を加工して、財務情報及び有価証券報告書中の財務情報を作成するプロセス及び当該プロセスに係る統制活動。
・財務情報について、プロセス全体のとりまとめを実施する。

【IT統制】
IT全般統制（ITGC: IT General Control）
・IT全般統制とは、業務で活用されるアプリケーションシステムが機能するための環境や情報システム全体の企画・開発・運営・管理等に関する統制活動。
ITアプリケーション統制（ITAC: IT Apprication control）
・ITアプリケーション統制とは各ビジネスプロセスの中で抽出された統制活動のうち、システムにより実施される統制活動。
<h2>内部統制を意識した情報システムの構築・導入の在りかたについて</h2>
主に以下の方法があります。

・パッケージシステム（販売、購買、会計などの複数の業務システムを統合的に利用できるもの）を導入する方法
・販売、購買、会計業務などの個々の業務システムを導入し、必要に応じて他のシステムとデータ連携をとる方法
・自社開発による方法

いずれにしても、内部統制を整備する上では、情報システムをツールとして活用することはできますが、内部統制そのものは、経営者及び社員の意識と意欲、具体的な創意工夫を必要とします。
方法は、会社によって選択の余地がありますが、内部統制を組み込む視点を持つことが必要です。

１）先ずは、会社の可視化、把握を行います。

＜目標、計画の策定＞
□組織的な活動をベースに持続的な利益獲得のための仕組み作り

＜組織体の整備、構築＞
□目標、計画の達成に最適な組織体
□職務・権限の結合

＜会議体の整備、構築＞
□目的に応じた会議体、会議体と組織体の関係

＜業務管理制度の整備、構築＞
□決裁権限、承認経路、計上・処理の基準、業務手続き、書式・様式 等
２）上記から、情報システム化の対象とするもの、しないものの区分をつけて、
以下のような視点で、情報システムの導入について組み込みを意識します。

＜データ項目の整備＞ ※1
□全社で必要とするデータ
□部門間で必要とするデータ
□部門内で必要とするデータ

＜データに対する決済権限、承認経路の整備＞
□決裁権限、承認経路との整合性

＜データ処理手続きの確定＞
□計上・処理の基準、業務処理手続きとの整合性

＜情報システム化、グランドデザインの策定＞
□計画、構築、導入、運用、保守など

＜経営トップのコミットメント＞
□プロジェクト完遂に
□プロジェクト完遂の

＜実行プロセスのマネジメント＞
□プロジェクトマネジメント
※1　データ項目の整備に注視して見ると、以下のような項目例が挙げられます。

＜企画・計画関連＞
◆入出力項目定義
◆管理単位、管理レベル
◆データ項目全体関連
◆全体データベース構造

＜外部委託・調達関連＞
◆社外情報との連携
◆「標準」への準拠
◆リポジトリ管理（情報の品質管理）

＜実装・構築・導入＞
◆データベース規約
◆データ標準（化）規約
◆コード規約
◆リポジトリ管理

＜保守運用＞
◆リポジトリ維持管理
◆情報の識別・管理（共通／社外）等
◆取引先との情報共有

＜診断・評価＞
◆データ品質評価
構築・導入の全体の設計や環境、要求するシステム機能及び
現実の業務プロセスと関係するように、データ項目の整備を中心におくと
内部統制の視点から、後戻りの少ないデータ管理ができる情報システムの構築に繋がります。

例えば、購買の業務プロセスにて、商品を発注する場合、
必要な部門が「決裁権限」を持つ部門に「承認」を受けて、発注するデータを情報システムに投入。
投入されたデータの商品を会社の物流部門で受け取った際に、自社の所有する商品として計上される場合、発注データは、「部門間で必要とするデータ」であり、且つ計上されたデータは、支払うための買掛金の情報に繋がりますので、「全社で必要とするデータ」になります。

いつまでにどのようなレベルでデータが必要か、システム上で全て行うか、管理は他でするか。
情報システムと人の動きを想定した内部統制の視点を持つことで情報システムに対しての機能要求
もしくは、システムの機能に合わせて人の動きを考えるなど、情報システムの導入検討に
具体性を持たせることができるかと思います。

また、内部統制では、課題を認識して記録を残して管理することが重要です。
（課題認識に対して、アクションプランを策定し、追跡することが重要）
「内部統制報告書」はEDINETで公開されており、インターネット上で見ることができます。

http://disclosure.edinet-fsa.go.jp/

公表されている一例を見てみると、ある会社の例では、「当社複数社員による不正取引」という
不備が過去に判明したが、以下の再発防止策を講じて、年度内に是正しています。

(1) コンプライアンス意識向上を図る体制構築を行い、企業風土の改善
・ 組織の体制強化としてコンプライアンス室を新設する
・ コンプライアンス研修を持続的に実施する

(2) モニタリング機能の充実を図る
・ 内部監査を強化する
・ 内部通報制度の周知徹底及び外部の窓口を設置する

(3) 仕入プロセスの適正化を図る
・ 本店及びXXX支店に購買部を設置し、内部統制を強化する
・ 入業者との関係を見直し、仕入業者の審査を厳格化する

その結果、当事業年度末日時点において、開示すべき重要な不備は是正され、
当社の財務報告に係る内部統制は有効であると判断いたしました。

上記は、年度内に提示した不備に対してアクションプランを実施したことが分かります。

今回は、基本的な内容が主となりましたが、
次回は技術を交えて、事例的な紹介を致します。