上場会社に対して平成20年4月から開始する事業年度から内部統制報告制度が適用されていますが内部統制とは
1.業務の有効性及び効率性、
2.財務報告の信頼性、
3.事業活動に関わる法令等の遵守
4.資産の保全
の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスの事で
1統制環境、(ガバナンス)
2リスクの評価と対応、(リスクの洗い出し)
3統制活動、(承認プロセス、手続き)
4情報と伝達、(アナウンスの環境)
5モニタリング(監視活動)
6ITへの対応(ITの環境と利用、統制)
の6つの基本的要素(内部統制を達成するために必要とされる内部統制の構成部分で内部統制の有効性の判断基準)から構成され、会社に対してのリスクを洗い出し、リスクを監視、評価、是正するために内部統制報告書を作成する制度です。
その中の「ITへの対応」は、「IT環境への対応」と「ITの利用および統制」とに分かれます。「IT環境への対応」は、業務統制を実現する為、業務プロセス遂行を支える情報システムの範囲を明確にしてその対応を行う事で、「ITの利用及び統制」は、情報システムを利用するプロセスとそのプロセスを管理について適正に効率的に実施されているかをモニタリング、評価し、改善する事で内部統制を実現する為にPDCAを回す事です。
要約すると「ITの対応」によって特に重要となるのは、業務が正しく行われている事を証明できる事で、重要になるのは
1.業務記録活動の履歴が残っている
2.必要な際に取得可能な事、
3.記録が残されていること
4.会計証憑の原本性がしっかりと保証されてる事
5.それらの情報に容易に辿り着く事ができる事
6.アクセス可能な人と権限が明確に限定されコントロールされている事が必要になり
これらを実現する為には
1.従業員のIDが統合管理されている事
2.認証/アクセスに対する制御がしっかりと行われている事、
3.システムへのログ収集/管理
4.運用管理が行われている事が必須となります。
システム運用が正しく行われたかの履歴の証明や、運用において不当なシステム改変や運用の変更を抑止することを可能とし、運用プロセスの統制が可能なシステム運用環境を構築する事は内部統制の実現には不可欠で、これらのITの活用、IT統制は他の内部統制の要素と密接に係りながら業務を正しく行い、内部統制を実現する為に基盤とも言える重要な要素であるとのことです。
内部統制報告制度はその会社によりそれぞれ異なり、会社を運営していくためにはリスクを管理し是正する制度はあって当たり前という話ですが、当然、難しいみたいですね・・。