2月には、遅れていた実務ガイドライン(実施基準)の制定作業もほぼ終わり、経済産業省からはIT統制の準備のために「システム管理基準追補版(案)」(財務報告にかかるIT統制ガイダンス)も出され、情報システム関係の構築作業もいよいよ本格的になってきました。
今からでも間に合うのか?といった心配の声と、逆に的が絞り込めて楽になったという声が交差する中、今から取り掛かる企業としておさらいをしてみましょう。
そもそも内部統制で求められている目的って?
エンロン事件に端を発した本家アメリカのSOX法は、株式市場の信頼回復を重点において、厳しい罰則で財務諸表の信頼性に力点を置いて作られています。
しかし、実際に運用しているアメリカ企業の中にはあまりに厳しい統制ゆえに、売上高の数パーセントを内部統制対策に持ってゆかれ企業収益を圧迫している例も出現、そして統制を厳しくすることにより、業務効率が落ちてしまっている例も報告されているようです。
そこで日本では、昨年施行された新会社法で、内部統制の目的を「コンプライアンス」「財務諸表の信頼性」「業務の効率化」の三つとして規定し、内部統制によって、正確性は高まったものの結果的に業務効率を落として業績にも悪影響がでないように牽制しているのです。
新年度の予算を立てていますが、情報システムの予算はどうすればいい?
ITシステムを備えていないことが、必ずしも内部統制の不備と指摘されるものではありません。
日本版SOX法実施基準では、本家のSOX法には書かれていない「ITへの対応」が追加されていますが、それは「ITに力を入れなさい!」ということではなく、ITを上手に利用してコストの総額を減らしなさいという意味くらいに捕らえたほうがいいでしょう。
それを証明しているのが、実施基準案に明記されている「組織に新たなITシステムの導入を要求したり、 〜 中略 〜 強いるものではない」という一文です。
内部統制にかかる人件費や業務フロー変更に伴う現場の工数増大をいかに省力化するかが、情報システムの役割であり、省力化のコスト算出が出来ないままいたずらにシステム予算を積み増すことは、結果的に内部統制の上記の3つの目的を達成出来ないことになってしまうでしょう。
では、内部統制において、情報システムってどう捕らえるといいのでしょう?
実施基準では、情報システムとは、サーバーやソフトウエアのことというよりも「情報を処理及び伝達する仕組み」全般を指しています。つまり
- 処理、及び伝達するスピードを速めるために、情報システムに対して初期の投資を行うという考え方をするべきである。
- その投資の回収は、処理のスピードアップがもたらす業務工数の削減により回収されるものと捕らえるべきである。
という観点です。
こうすると、ITの投資先としてどのようなポイントに着目すべきかが見えてきます。
では、次のStepで、内部統制における情報システムの回収可能な投資ポイントについて見てゆきましょう。
