J-SOX2023年改訂で内部統制がやるべきこと Part.09 - 評価範囲③・IT（情報システム） -

　2023年04月企業会計審議会（金融庁）において改訂版・内部統制報告制度（J-SOX2023改訂版）が発表されました。15年ぶりの改訂です。

　今回の記事では、評価範囲の選定に関するもののうち、IT（情報システム）について考えてみます。
（＊IT全般統制（ITGC）ではありませんのでご注意ください。）

業務プロセスの評価範囲にもIT（情報システム）が影響します

　2023改訂版「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」（企業会計審議会・金融庁）（＊以下「J-SOX2023改訂版」といいます）の変更点は多岐にわたります。これまで勘定科目、事業拠点について考えてみましたが、もうひとつ見逃してはならないものがあります。それがIT（情報システム）です。

　J-SOX2023改訂版にあるIT（情報システム）に関する記述は細かい箇所で多数ありますが、今回ご紹介する点はほんのわずかな変更点（加筆）です。しかし、いざ評価範囲の選定と評価を行う際には重要な点となります。この加筆の箇所は、前回の記事「J-SOX2023年改訂で内部統制がやるべきこと Part.08 - 評価範囲②・事業拠点（子会社を含む） -」でご紹介した事業拠点に関する記述の一部分になります。

〔業務プロセスに係る評価の範囲の決定〕
② 評価対象とする業務プロセスの識別
イ．①で選定した重要な事業拠点（持分法適用となる関連会社を除く。）における、企業の事業目的に大きく関わる勘定科目に至る業務プロセスは、財務報告に及ぼす影響を勘案し、原則として、全てを評価の対象とする。
（中略）

ロ．①で選定された事業拠点及びそれ以外の事業拠点について、財務報告への影響を勘案して、重要性の大きい業務プロセスについては、個別に評価対象に追加する。業務プロセスの選定の際の留意点は以下のとおりである。

ａ．リスクが大きい取引を行っている事業又は業務に係る業務プロセス
（中略）
ｂ．見積りや経営者による予測を伴う重要な勘定科目に係る業務プロセス
（中略）
ｃ．非定型・不規則な取引など虚偽記載が発生するリスクが高いものとして、特に留意すべき業務プロセス
（中略）
ｄ．上記その他の理由により追加的に評価対象に含める場合において、財務報告への影響の重要性を勘案して、事業又は業務の全体ではなく、特定の取引又は事象（あるいは、その中の特定の主要な業務プロセス）のみを評価対象に含めれば足りる場合には、その部分だけを評価対象に含めることで足りる。

　リスクについては、例えば、以下のような状況において、発生又は変化する可能性がある。
・規制環境や経営環境の変化による競争力の変化
・新規雇用者
・情報システムの重要な変更
・事業の大幅で急速な拡大
・生産プロセス及び情報システムへの新技術の導入
・新たなビジネスモデルや新規事業の採用又は新製品の販売開始
・リストラクチャリング
・海外事業の拡大又は買収
・新しい会計基準の適用や会計基準の改訂

＊最下段の「リスクについては」以降が新設の加筆部分です。

（出典：J-SOX2023改訂版／実施基準・74-76ページ）

　上の引用部分は、事業拠点の評価範囲の選定の際に留意する点を説明している箇所ですが、ここにリスクの観点から情報システムについて留意するように示しています。IT統制では情報システムの重大な変更と情報システムへの新技術の導入があればもちろん評価範囲に入りますが、事業拠点の評価範囲の選定の際にもこれらのことを留意して評価範囲を決定するようにと示しています。
（＊なお、IT全般統制については「J-SOX2023年改訂で内部統制がやるべきこと Part.02 - ITへの対応が最重要です！ -」その他関連記事をご参照ください。）

　皆さんもご存知のとおり、内部統制の評価はリスクマネジメントを行うことです。業務プロセスの各業務についてリスクとコントロールを識別し、その重要性を評価（screening /スクリーニング）します。財務報告の重要な事項の虚偽記載に結びつきやすい事業上のリスクを有する事業又は業務や、複雑な会計処理が必要な取引を行っている事業又は業務、複雑又は不安定な権限や職責及び指揮・命令の系統の下での事業又は業務を行っている場合には、これらの事業又は業務を処理するために情報システムを導入していると思いますので、この点を留意してリスクとコントロールを識別して評価する必要があるのです。ここは業務プロセス（PLC）とIT業務処理統制（ITAC）と重複するところで、通常は個別ではなくIT統制の方で評価することでまとめてしまいがちですが、上の引用部分のとおり、情報システムの重要な変更や新技術の導入（変更）があったときはリスク発生又は変化する可能性があるため、PLC、ITACそれぞれリスクとコントロールの識別をしっかり行い、統制項目を十分に検討したうえで修正し、評価していくことをお勧めします。

　このように、業務プロセスの評価範囲を選定する際にも、もちろん業務プロセスの統制項目にも、IT（情報システム）が影響するのです。それでは、具体的にどのようにしたら良いかを考えてみましょう。

ITに必要なのは、機能より証憑・証跡の有無

　皆さんの会社で情報システムの入れ替えや新規導入、改良などの変更等を行うとき、どのような理由でそのシステム、アプリケーション、モジュール等追加機能を選びますか？使い勝手や新機能の優良性でしょうか。私がお勧めするのは、そのシステム、アプリケーション、モジュール等追加機能を選ぶときは、使い勝手や新機能の優良性だけでなく、必ずそのシステム、アプリケーション、モジュール等追加機能に証憑・証跡を取る機能、やり方が存在しているかを確認してください。日本のソフトウェアベンダーが販売する会計システムには会計監査や内部統制に対応できる機能や証憑となる帳票類があることが多いですが、もし海外の会計システムを選ぶ場合は、必ずそのソフトウェアベンダーか代理店に確認してください。

　また、販売管理システム、アプリケーション、モジュール等追加機能を購入する場合は特にご注意ください。これも日本の会計システム・ソフトウェアベンダーが追加機能として販売している場合であれば問題ありませんが、クラウドベースの顧客関係管理ソリューションで拡張機能を追加する際は、会計監査や内部統制に対応できる機能や証憑となる帳票類が無かったり、又は有る場合でもユーザーへは有料で提供したり、若しくはベンダー側で保有していてもユーザーには提供されないことがあります。いくら使い勝手や新機能が優良であっても、会計監査や内部統制に対応できる機能や証憑となる帳票類が無いために別途エクセル等で証憑を作成するような手間が発生するのでは非常に面倒です。新規システム、アプリケーションの購入・入れ替え又はモジュール等追加機能の購入を検討される際は、ぜひ会計監査と内部統制のことも踏まえて検討することをお勧めします。

プロセスマイニングツールやGRCツール導入も選択肢に

　以前にもご紹介したかもしれませんが、会計監査・内部統制・内部監査を正確かつ効率的に行いたいときは、プロセスマイニングツールやGRCツールの導入も選択肢としてご検討ください。

　プロセスマイニングツールとは、会社で業務の効率化を図りたいときに業務のプロセスを可視化するときなどに利用するツールです。プロセスマイニングツールについては、前述のとおりすでに皆さんの会社で業務改善や業務の効率化を図るために導入した経験や現在導入中かもしれません。このプロセスマイニングツールは、例えば業務の逸脱（例：事後申請の検出）や抜け漏れを検出したり、業務の頻度や経過、経路を辿ることも可能で、内部監査の監査・内部統制の評価でも活用することが可能です。また、内部統制には４つの目的にあるとおり「業務の有効性及び効率性」を目的としていますから、その点においてもプロセスマイニングツールの導入は非常に効果が高いです。

　GRCツールとは、ガバナンス／Governance・リスク管理／Risk・コンプライアンス／Compliance の各領域に関する会社内の業務・行動を管理するツールです。GRCツールについては例えば会社法上の大会社で社員数1000人以上などであれば、有効的かつ効果的だと考えます。その理由は、このGRCツールの導入コストが高額であること、また利用範囲がガバナンス・リスク管理・コンプライアンス の各領域に関する会社内の業務・行動であり、その他のために利用することがあまり考えられないことです。費用対効果の面では会社法上の大会社で社員数1000人以上であれば効果が得られますが、その他の会社では効果が比較的薄いかもしれません。GRCツール導入を検討する際は、各社の資料の収集やベンダー・代理店から十分な説明を受けるなどしたうえで、検討することをお勧めします。

　J-SOX2023改訂版の適用は、03月決算期の会社では2024年04月からとなります。じっくりと内容を検討して・・・とは言いづらいですが、まだ３か月もあります。慌てることなく、やるべきポイントを整理して、抜け漏れの無いように準備して適用できれば問題ありません。ぜひ、しっかりとした内部統制体制の構築を進めていきましょう。