IT統制に関する金融庁のQ&Aから

2008年4月1日から実施年度になったJ-SOX法によって、内部統制はプロジェクトを終え、定常業務の中で実践することが必須の状況になってきました。

この目的が「財務報告の信頼性」であることから、IT統制が内部統制の焦点となってきたことは述べてきました。

この状況下で、2008年6月24日に金融庁から「内部統制報告制度に関するQ&A」(追加Q&A)が、内部統制の全般に亘る67問のQ&Aが公表されました。
かなり具体的に回答されており、内部統制の実践時の対応がかなり明確になってきました。
今日はこのQ&A集の中から、2,3問を取り上げようと思います。

◆質問16は【期末日前のシステム変更】に関する質問で、
“内部統制監査のために、期末前3ヶ月間はシステムを凍結し、内部統制の変更を行ってはならないとあるが、如何に考えるべきか?” が質問です。

情報システムに携わる人にとっては、重要な問題であるので取り上げておきましょう。このような記述は金融庁の「実施基準」にはありません。おそらく、監査法人からの指示であろうと思われます。

この質問への回答は、“システム変更は、企業側の判断であり、内部統制監査が やりにくいということから監査人が結論付けるものではない。
重要な影響を及ぼす部分の変更であっても、「追加手続」の検討をすればこと足りる。追加手続きができない場合でも、「やむを得ない事情」や正当な理由がある場合は、「無限定適正意見」を表明できる。”

かなり柔らかい回答になっています。

“やむを得ない事情”とは、合併や買収などを指すとしていますが、“やむを得ない事情を記述して「限定付適正意見」として監査証明するのが趣旨に合っているのでは?”と考えてしまいます。
ただし、企業にとって重要な事態であれば、監査に振り回せることなくシステム変更を実施することが可能ということが分かります。

◆質問14【ITに係る全般統制の不備の判定】に関する質問で、
“IT全般統制の不備は、直ちに重要な欠陥となるか ?”の質問です。

回答は、“変更管理の不備があっても、業務処理統制に係るプログラムの変更がない場合などは、当該システムは有効に機能していると位置づけられる。”となっています。

つまり、IT業務処理統制がしっかりしていれば、IT全般統制が少々ダメでも関係ありませんと言っていることになります。

IT業務処理統制のITコントロール目標は、「完全性」、「正確性」、「正当性」、「維持継続性」でした。アプリケーションシステムを構築するときの法的な設計要件としてクローズアップされてきます。

今回はここで終わります。
次回は、IT戦略のテーマとして「SWOT BSC COBITの関係」を捉えてみます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする