日本CAは、9月11日、東京・丸ビルで「IT全般統制におけるアクセス管理」と題したセミナーを開催した。基調講演には、監査法人トーマツの公認会計士・公認情報システム監査人である丸山満彦氏が登壇し、IT全般統制のポイントについて語った。
IT全般統制の不備が重大な影響も
監査法人トーマツ 公認会計士・公認情報システム監査人 丸山満彦氏
日本版SOX法で求められるIT統制は、「IT業務処理統制」と「IT全般統制」の2つ。前者は、ITを使った会計処理が適切に行なわれるようにするもので、たとえば「10万円以上の経費を支払うには上長の承認がなければ処理されない」といった統制をシステム上で行なう。後者は、ITそのものを管理する一般的な統制であり、IT処理が適切に機能するようにするものである。今回の基調講演では、監査法人トーマツの公認会計士・公認情報システム監査人である丸山満彦氏が、IT全般統制のポイントを中心に解説した。
丸山氏によると、IT全般統制におけるポイントは「期待したとおりにシステムが機能していること」。具体的には、(1)期待したプログラムのみが実装される、(2)プログラムは期待したとおりに実行される、(3)プログラムは改ざんできない、(4)データは改ざんできない――の4つである。日本版SOX法の実施基準では、システムの開発、変更・保守/運用・管理/安全性の確保/外部委託に関する契約、が監査人が検討すべき評価項目として挙げられていて、それぞれについての例示もされている。
この中で丸山氏が「とりわけ重要」と強調したのが、会計システムへのアクセス管理。「たとえば、お金を動かす人と伝票を書く人が同じでは、自分で伝票を書いてお金を引き出せてしまう。1人で完結しないように、2人以上で職務権限を分けること、職務分掌が重要だ」と丸山氏は話す。
また、情報システム部門では、システム開発環境と本番運用環境の分離も必要になる。開発者が本番中のプログラムを変更したり、逆に本番環境の運用者が開発環境を変更できないようにするのが原則だ。さらに重要なのが、プログラムやデータ、ログなどのすべての変更権限を持つ“特権ユーザー”(スーパーユーザー)の問題。「特にオープン系のシステムでは、汎用機に比べて比較的簡単に特権ユーザーを作れてしまう。一人で完結する環境を作ることは、基本的にあってはならないこと。そうした、あるべき姿に戻そうとすると困っている企業が多い」(同氏)。
丸山氏は、「ITに問題があったからといって、すぐに決算書を間違えるわけではない。ただ、会計システムなど、場合によっては決算書に重大な影響を及ぼすこともある」と強調。「システム上でも、実世界と同様に、職務上の権限をきっちり分けることが重要だ」と話した。
このほか、日本版SOX法全体におけるポイントについては、「よく誤解される点だが、日本版SOX法で行なう評価は“財務報告に係る”部分に限定されている。ほかについても当然やらなくていいわけではないが、評価はしない、ということだ」と説明。また、法律上で義務付けられているのは“内部統制報告書の提出”だとして、「有効でなければ“有効ではない”と書いて提出しなければならない」と話す。このとき逆に有効だと報告すれば虚偽記載になってしまうため、「実際には日本でもかなりの数の企業が、“内部統制が有効ではない”と書かざるを得ないと思う」との見方を示した。
また、7月に日本公認会計士協会が公表した監査基準(「財務報告に係る内部統制の監査に関する実務上の取扱い」)についても触れ、「監査基準は公認会計士に対して拘束力を持たせるもの。だが、企業の経営者も監査を行なう公認会計士がどのような行動をとるのかを把握しておく必要がある」として同基準に目を通すべきとアドバイスした。
