|
[2009 年 10 月号] |
[技術講座]
J-SOX 1年目の対応が終わり、推進体制や文書化方針の見直し等の検討とともに、 2 年目の評価対応が本格化してきているのではないでしょうか。初年度で IT の統制についても様々な課題が出てきていると思います。今回は、その中の課題として挙げられることが多かったであろう委託先管理について、その統制整備の考え方や要点について示します。
J-SOX 法による内部統制報告書が 2009 年 3 月決算の企業を皮切りに提出されました。
内部統制報告書を提出した企業のうち、「重要な欠陥」と開示した企業は全体の2%程度となっています。アメリカの SOX 法実施初年度は、それに該当する割合は 16% 程度だったことを考えると、これはかなり少ないと言えます。
ただ、その多くの企業は、内部統制上何の問題もなかったのでしょうか?
内部統制に何らかの問題がある場合には、「不備」と判断されますが、その中で財務報告に重要な影響を及ぼす不備は「重要な欠陥」となります。 2% の企業は「重要な欠陥」が存在する企業であり、他の 98% の企業でも内部統制の不備は少なからず存在し、今後何らかの改善活動が必要であると想定されます。
| 「不備」と「重要な欠陥」の判断基準 | |
|---|---|
| 不備 | 内部統制の不備は、内部統制が存在しない、又は規定されている内部統制では内部統制の目的を十分に果たすことができない等の整備上の不備と、整備段階で意図したように内部統制が運用されていない、又は運用上の誤りが多い、あるいは内部統制を実施する者が統制内容や目的を正しく理解していない等の運用の不備からなる。 |
| 重要な欠陥 | 内部統制の重要な欠陥とは、内部統制の不備のうち、一定の金額を上回る虚偽記載、又は質的に重要な虚偽記載をもたらす可能性が高いものをいう。 |
特に、 IT 統制については、初年度の開始前から実施基準の解釈や文書化の方針について様々な意見があり、混乱がありました。また、実際の実施にあたり、監査法人側も慎重な対応をせざるを得なかったでしょう。
企業側は、 IT 統制の不備が存在した場合、業務処理統制の評価のサンプル数を極端に増やすなどして対応したり、暫定的な対応をシステム部門に実施させたりというように、本質的な改善が実施できなかったケースも多かったと思われます。
つまり、IT 統制に関しては、重要なリスクが残存しているケースがまだ多くあるのです。
今後、続いていく J-SOX 対応含む内部統制の向上は、単年度単位ではなく継続的に整備、評価、改善のサイクルを回し、統制を高めていく必要があります。
監査法人は、 2 年目以降も初年度の統制状況を確実にモニタリングを実施します。
今回取り上げている委託先管理については、契約の更新タイミングやシステム開発契約の切れ目のタイミング等、段階的に統制を高めていくことが現実的でしょう。
現在の企業の状況として、コスト削減や経営への機動性、競争力強化の面等から、業務委託する範囲が広がってきています。システムの運営を自社ですべてまかなっていることはほとんどなく、多くは委託先が関係しています。
また、クラウドコンピューティング( SaaS 、 ASP )の広がりにより、自社で IT 資産を「保有する」から「利用する」という意識に変わりつつあり、委託する業務範囲は広くなる傾向にあります。またそれによって、委託の形態も多様化してきます。
業務委託範囲が広くなると、それを管理する委託元での「委託先の管理」の重要性が増してきます。ITに関する業務を委託した場合は、委託元は業務についての一義的な責任を有するため、委託先の統制が有効であることを評価する必要があります。
統制を評価する上での観点として、J-SOX では、① システム開発、保守、② システム運用、③ アクセス管理、④ 外部委託管理がありますが、それぞれを委託元と委託先で必要となる統制で分類すると、以下のように整理することができます。
| 委託元の統制 | 委託先の統制 | |
|---|---|---|
| 統制の観点 | ④ 外部委託管理 | ① システム開発、保守 ② システム運用 ③ アクセス管理 |
| 統制の実施者 | 委託元(自社) | 委託先(ベンダ) |
| 統制の責任者 | 委託元 | 委託先 |
| おもな留意点 | 委託先の契約や評価等、自社内の管理プロセスを指す。 契約条項に監査条項を入れる必要がある。 必要に応じて SLA を結ぶ必要がある。 | 委託先の統制状況を指す。 委託元は、統制状況をモニタリングする必要がある。 SAS70 もしくは、18 号監査報告書を取得する。取得しない場合は、委託先へのヒアリング、情報収集により監査を実施する。 |
④ は、委託元の契約管理や評価等、自社内の管理プロセスを指し、① 〜 ③ は、委託先の統制状況を指します。
委託先管理は、④ の外部委託管理としての1つの評価の観点というだけでなく、① 〜 ③ にも関係する重要な統制と言えます。それぞれ委託元と委託先の視点で統制を整備しておく必要があります。
さらに言うと、このように委託先の管理は評価全般に関わるものであるため、内部監査部門や監査法人の監査コストにも影響を及ぼします。もちろん監査コストの増加は様々な要因がありますが、企業の収益圧迫要因となるため、対策を取る必要があるでしょう。
ここからは、委託先管理を検討するポイントや手順を示していきます。
検討のポイントは、個別の視点と全体の視点の両方を考慮することです。企業の状況として、個別の視点での統制は実施できているものの、全体の視点を持つことができておらず、有効な統制が整備できていないことが多々あります。
例えば、「自社のコンプライアンスに則って、契約管理を徹底している」という個別の統制が有効な実態はあるかもしれません。ただし、委託先との契約管理をしっかりできたとして、委託した業務がビジネスメリットを得られるような結果を出すことができるでしょうか?そもそも、自社が外部委託するにあたっての目的や方針、委託する業務と自社で実施する業務の切り分けは適切に検討できているでしょうか?契約の前には、業務委託に関する管理方針を設定し、委託先の選定に関しても適切なプロセスを踏む必要があります。
個別の視点と全体の視点を考慮した委託先管理の実施を目指すには、① 方針・計画、② 委託先選定、③ 契約、④ 実施・モニタリングの 4 つのフェーズに分け、体系的に検討することが大事です。
図 3 で示したように、『統制の現状把握』、『統制の整備』、『継続的な運用』の順に検討をすすめ、 4 つのフェーズを効率よく適用していく必要があります。
まず、統制を整備・改善していく上での第一歩として「統制の現状把握」を行います。
内部統制の対象会社、対象部署について、統制状況、統制レベルの情報収集を行います。それらを正しく認識することで、統制の整備の方向性、改善するポイントを絞っていくことにもつながります。
ここでは、システム管理基準をベースにしたヒアリングシートを挙げています。
上で挙げた 4 つのフェーズについての質問が網羅されています。
それぞれの項目について、○×での回答だけでなく、① 実施するルールは存在するか?、② そのルールはどのように実現しているか?等について状況を記述していきます。
ここでの目的は、現状の統制状況を確認することですので、このような質問項目があるからと言って、すべての統制が整備されている必要はありません。
また、今後整備する内容やレベルはこの後決定していくものであり、自社の状況に応じて改善の方向性は検討していきます。
|
◆ IT ガバナンス簡易診断 オージス総研では、 IT ガバナンス簡易診断(無料)を実施しており、自社の統制の現状把握を実施する第一歩を支援しています。 COBIT の成熟度フレームワークに基いて、 IT ガバナンスの簡易診断を行い、その診断結果を用いて、 IT 全般統制の方針策定を行うことができます。 ご興味ある方は、info@ogis-ri.co.jpまでご連絡ください。 |
次に、現状の委託先との契約と関係者間の関係をシステム毎に整理します。
委託する業務が単純であり、委託先の数、階層も少なければ整理することも簡単ですが、実際には、様々な委託形態があり、システム担当や業務担当でも契約関係を把握できていないことは多いものです。
開発ベンダ、保守ベンダ、運用ベンダは異なることはもちろん、保守ベンダでも機器ごとにベンダが異なったり、HW、NWの運用、保守ベンダも絡んできます。また、自社が業務上で関係しているベンダでも、実際の契約は存在せず、ベンダとの契約は業界団体が実施している(自社と委託先のベンダとは業界団体を挟んだ間接的な契約)というようなことも実例としてあります。契約や責任範囲が複雑なシステムについては、図によって可視化し整理した方がよいでしょう。
また、委託先との関係を整理することは、内部統制の評価を実施する上で重要な基本情報となります。
さらに、可能であれば、システムを利用する主要なユーザも把握しておいた方がいいでしょう。ここまで整理できれば、整備の推進、統制範囲・レベルの決定がスムーズになります。ただ、整備をする上で修正、更新はしていくことになります。
今回は、委託先管理の重要性、統制の現状把握のポイントについて説明しました。次回は、委託先管理の統制整備、改善のポイントについて取り上げます。
・システム管理基準
・システム管理基準 追補版(財務報告に係るIT統制ガイダンス)
| © 2009 OGIS-RI Co., Ltd. |
|
