ITへの対応とITへの依拠
日本の内部統制基準の特色のひとつといわれているのが、内部統制の基本要素の中に「ITへの対応」という項目が入っているところである。あえてITだけを採り上げる必要性があるのかとかといった批判や、ITのレベルの低い会社にとっては酷であるといった嘆きが、巷間聞こえては来る。
しかし、制度の考え方はとにかくも、経営者の立場からはIT統制が財務報告に係る内部統制の一部を担っているかどうかの判断がここでは重要である。また監査人の立場からは、財務諸表監査において経営者の整備運用している統制のうちITに係る統制に依拠するかどうかということになる。
IT統制の概念整理
一言でIT統制(ITへの対応)と言っても、考え方は大きく3つに分かれることになる。
- ITを用いた統制(ITに拠る統制)
- IT環境そのものを管理すること(ITの統制)
- IT環境を確立するための経営者の戦略や施策(ITのための統制)
上から順番に、IT業務処理統制、IT全般統制、IT全社統制という形で整理されているが、米国で今でも人気ナンバーワンの大統領アブラハム・リンカーンの言葉を借りて、次のようにしゃれてみたい。
The controls of the IT, by the IT, for the IT (ITの、ITによる、ITのための統制)
Top&Bottom両側からのアプローチ
ITへの対応ないしIT統制への依拠にあたっては、経営サイドからのアプローチと、業務サイドからのアプローチがある。
経営サイドからのアプローチ
経営サイドからのアプローチとは、ITをビジネスにおいてどのように活用するかといった考え方を整理することで、IT戦略といわれているものに相当する。ITの持っている本質的属性は、プログラム化された処理を反復継続的に行なうところにあるが、この属性をどのようにビジネスに活用するかによって、経営サイドにおけるITへの依拠度合が大きく変わってくる。
- 経理の計算・集計、帳簿の印刷
最も単純なのが、「計算機・集計機・印刷機」としてのITの利用である。財務報告で言えば、仕訳を入力して、科目別などに集計して、元帳や明細表を出力するという利用態様である。これは、大番頭とか弥生会計とか、市販のパッケージソフトを使って行なう経理業務がそれに近いだろう。
- 業務用データの処理(単純利用型)
次に考えられるのが、「業務別業務情報処理機」としてのITの利用である。ITによる経理業務を上記のように仕訳処理機能と考えれば、経理以外の業務についても同様に関連する業務を処理するITがあってもよい。分かりやすい例では、受注販売データ処理、固定資産データ処理、在庫入出荷データ処理などが該当する。これらのシステムから生成された、販売データ、固定資産授受及び減価償却計算、入出荷記録などから、「総括仕訳」を作成して例えば月に一回、経理システムに仕訳データを入力するなどの方法を採る会社は、非常に多いところである。この段階では、いまだ集計(つまり入力した後の処理)という側面が強調されている点、そして処理が社内に閉じている点には着目しておきたい。
- 統合型システム(相互利用型)
三番目に考えられるのが、ERP[1]のような、統合化された経営情報管理システムである。経営イベントが発生する都度、その状態をシステム上のデータに反映させながら、経営の現段階の状況を把握するとともに、業務相互間でデータを融通しあいながら手作業では行ない得ないような組織間業務間のこまめなデータの利用によって、情報処理による作業から人間を解放し本来の付加価値のある業務にリソースを用いようという考え方がある。この段階では、データの集計作業よりも、データそのものを入力しなければ事実上業務が回らないという制約が加わることから、業務の流れをきちんと整理しその流れに則って各イベントに応じてデータを入力していくところが重要である。
最近では、経営情報に限らず顧客に対しても同様に業務情報を開放することで、顧客側との連携を図ろうという動きもある。業務間のデータは相互に連携しているため、経理データについても何らかのタイミングで同時生成されていることになる。つまり経理データの証跡は、業務データの加工過程と結果ということになる。
ITへの依存度合
経営におけるITへの依存度合という点においては、上記では後に行くほどその比重は大きくなっていく。
計算機・・・として利用しているITについては、まさに人間が行なうべき作業をITに代替させているだけで、仕訳情報の生成や、結果の報告という本来の経理的な機能は人間が実施しているわけだから、こと経理という側面においては、人間がITをコントロールしているということについての納得はあるだろう。会計監査の立場からは、ITによる統制がほとんど存在しないわけだから、IT統制への依拠はできないことになる。
経営者評価においては、組織業務を中心にITを補助的に用いたデザインを整理し、ITとの関係では、ITに正しい情報を入れるための人間によるコントロールや、ITによって生成された情報(レポート)を人間が判断して利用するというコントロールが必要になってくる。
しかし統合型の利用方法となると、ITの仕様に合わせて人間が行動している、つまりITにより業務が既定されているわけだから、こと業務に関してはITにより人間が統制されていると言えなくもない。またその結果として得られる会計情報も、ITにより統制された情報として得られているということになり、報告などの業務もかなりに部分がITによって行なわれていることになろう。こういったケースの場合、ITにより統制されている業務領域がかなりの部分を占めることになるので、会計監査の立場からは状況を慎重に捉えつつもITによる統制に依拠せざるを得ない(つまり、統制運用評価をせざるを得ない)ということになる。
もちろん経営者評価においても、ITを中心に据えて内部統制のデザインを捉え、運用状況の評価もITを中心に行なわれることになるだろう。
問題は、両者の中間にある業務別のデータ処理をしているケースである。この場合、より統合型に近い運用形態と、より計算機型に近い運用形態とがあり、一概に述べることは難しい。ゆえに状況に応じて依存度合を判断し、次の業務サイドからのアプローチを適用していくことが必要になってくる。
業務サイドからのアプローチ
業務サイドは、経営者のIT戦略の枠組みから逃れることはできないが、会計情報の適正性という側面から見たときに、その適正さの根拠となる要素(アサーション)がどのような手続によって担保され、それらの手続がITとどう関係しているかの分析が必要になる。
詳しくは、「キーコンとIT統制」を参照。
【本文脚注】