内部統制に向き合う Part.02 - IT統制② -

　2023年04月内部統制報告制度（J-SOX2023改訂版）が15年ぶりに改訂されて内部統制が様変わりし、皆さんの会社では豊富な知識と蓄積された経験をもとに日々内部統制を進化させていることと思います。その豊富な知識と蓄積された経験をいったん振り返って整理し、さらに実践に役立つ戦略・戦術として活かすことを考えてみたいと思います。
　今回は、前回に引き続きIT統制です。内部統制に向き合うなら、まずはIT統制です。

IT統制は会社の要②

　前回の記事「内部統制に向き合う Part.01 - IT統制 - 」では、IT統制は、とても大切な統制でIT統制をしっかりさせることは、会社全般に影響するとご紹介しました。各プロセスの整備／運用評価のご経験のある内部監査／内部統制評価者の皆さん、またIPO準備期の会社で一から内部統制体制を構築されたご経験の皆さんはすでにご存知のことと思います。これは思い出話になってしまいますが、特にIT環境概要調書の作成は会社のIT環境全体を把握すること、実務でのシステム・アプリケーション（以下総じて「システム」といいます）の利用状況の把握等が意外に難しく、その状況の把握の時点でアクセス管理（ユーザーID発行／停止・削除、アクセス権限、ロール設定等）のルールが無い又はルールどおりの運用がなされていないなどの状態が発覚するなど、内部統制の入り口のところで大変な思いをされた方は少ないないと思います。

　ITとシステムの利用は、広範囲で複雑化した社内の業務を合理的かつ効率的にスムーズに遂行するためにあるものと理解しています。そのため、アクセス管理上普段は見ることも使うこともないような従業員にも「万一のことがあるから」といってとりあえず権限を付与する、というようなこともあるでしょう。また、日頃の日常業務が多忙なために退職者のユーザーIDの停止・削除が後回しになってしまうこともあるでしょう。しかしそのやり方はとても危険です。適時開示情報閲覧サービス（TDNET）を見ますと、先のような業務実態が原因で不正アクセス等のインシデント・アクシデントが発生し、その会社の存亡を危うくする事態に発展した事例が実際にあります。またITとシステムはBCP（Business Continuity Planning）対策のなかでも大きな部分を占めています。つまり、ITとシステムの利用に関するルールとその完全遂行は、単に合理的かつ効率的にスムーズに遂行するためにあるものだけではなく、インシデント・アクシデントの未然防止、BCP対策のため、ひいては会社の成長・飛躍的な発展の原動力となるものだと考えます。このように考えますと、J-SOXで６つ基本的要素のうち「ITへの対応」をなぜ挙げているのかという理由もわかります。
　このことはUS-SOXにも言えます。以前の記事「- IT統制とISMS認証 - 」でご紹介したアメリカ証券取引委員会（SEC）が2007年6月27日に発表したSOXに関するガイダンス（Commission Guidance Regarding Management’s Report on Internal Control Over Financial Reporting Under Section 13(a) or 15(d) of the Securities Exchange Act of 1934）では、経営者のIT統制への責任を明確に示しています（ガイダンスのp16参照）。

　Management may also consider the efficiency with which evidence of the operation of a control can be evaluated when identifying the controls that adequately address the financial reporting risks. When more than one control exists and each adequately addresses a financial reporting risk, management may decide to select the control for which evidence of operating effectiveness can be obtained more efficiently. Moreover, when adequate information technology (“IT”) general controls exist and management has determined that the operation of such controls is effective, management may determine that automated controls are more efficient to evaluate than manual controls. Considering the efficiency with which the operation of a control can be evaluated will often enhance the overall efficiency of the evaluation process.

　上の太文字の部分をご覧ください。ここでは適切な情報技術 (IT) 全般統制が存在し、経営陣がそのような統制の運用が有効であると判断した場合、経営陣は、手動統制よりも自動統制の方が評価が効率的であると判断する場合がある、と示しています。これはJ-SOXにあるIT統制を整備・運用してくださいという言い方より少々強めで、US-SOXではIT統制を適切かつ有効に整備・運用していることを前提に財務報告ひいては全社の統制が有効となるとしているからです。こうしてみると、アメリカでGRC（ガバナンス／リスク／コンプライアンス）ツールを利用してデータ・ガバナンス、リスク管理、法規制へのコンプライアンス状況を常時監視する理由がわかります。ただ、この常時監視も業務の状況がガバナンス／リスク／コンプライアンスの観点で正常に運用されていることの証跡を残すためのものであることは言うまでもありません。

　このように、J-SOXでもUS-SOXでもIT統制の重要性そしてIT統制は会社の要であるという認識に差はありません。だからこそ、しっかりとしたIT統制の構築が必要だと言えます。

IT統制は内部統制だけのものではない

　先のとおり、IT統制はインシデント・アクシデントの未然防止、BCP対策のため、ひいては会社の成長・飛躍的な発展の原動力となるものなので、とても重要ですし会社の要です。このようにみますと、IT統制は内部統制だけのものではなく全社、全役員・全従業員のものであることがご理解いただけるかと思います。例えば、IT・情報セキュリティに関する業務マニュアル等を定めたら全社、全役員・全従業員がその対象になります。また、一部の方が不正アクセス等を行った場合はその会社の業務マニュアル等の全面改定やセキュリティ環境も変わり、業務上でいままで行えたことができなくなることもあります。業務でITを利用するのは全社、全役員・全従業員です。そう考えると、IT統制を理解するのは内部統制に携わる私たち以上に、むしろ全社、全役員・全従業員なのかもしれません。
　全社、全役員・全従業員の皆さんにIT統制を理解していただくことは、難しいことではありません。良い例はISMS認証を取得している会社です。ISMSの要求事項に適切な教育と訓練を定めています。これはISMSに関わる業務に携わる従業員等だけではなく、全役員・従業員等に対しても情報セキュリティに関する知識・技能を十分に備えてもらうための教育と訓練が必要であるとしているものです。ですからISMS認証を取得している会社の皆さんは情報セキュリティに関する知識と技能を十分に備えています。以前の記事「- IT統制とISMS認証 - 」でご紹介しましたとおり、ISMSは業務上の必要に迫られている状況もあり全役員・従業員等に浸透しています。IT統制とISMSは実務面からみて親和性が高いのでIT統制についても浸透しやすいと思うのですが、それにもかかわらずIT統制については全役員・従業員等にあまり浸透していません。J-SOXのIT統制は、単に評価をするためのものではありません。会社のIT環境の整備やその運用実態等がしっかりと行われていることを踏まえて、その整備・運用状況を評価するものです。ですからISMSと同様に全役員・従業員等のIT統制に対する教育、理解、浸透、運用が前提となると考えます。皆さんの会社におかれては、社内研修の課目にぜひIT統制を加えていただくことをお勧めします。

　03月決算期の会社でしたら、今からでも来期に向けた内部統制体制の見直し・再構築の検討を行なっても間に合います。ぜひご検討ください。