内部統制報告制度は、上場企業の義務となっており、毎年評価を行う必要があります。
組織環境や業務等に大きな変更が無ければ、内部統制対応も前年度の評価を踏襲して進める事ができますが、変更があった場合には、全体的に見直しを行う必要が出てきます。
その中で、基幹システムや会計システム等、財務報告に係るシステムのリプレイスがある場合には、内部統制対応に大きな影響を与えます。
システムの老朽化や業務の効率化を目的とし、IT投資を検討している企業様も増えているようで、システムリプレイスが発生する可能性も増えているのではないでしょうか。
今回は、システムリプレイスがある場合の内部統制対応について、解説したいと思います。
また、最近のIT関連のキーワードとして、『RPA(デジタルレイバー)』があります。
今回の記事では、『RPA』と内部統制の関連についても触れたいと思います。
目次
システムリプレイスが内部統制に与える影響
システムリプレイスにより、業務内容に変更が生じたり、ITインフラの構成やネットワーク環境の変更等に伴うシステム管理ルールの見直しが必要となります。
内部統制の中では、システムに関連するIT全般統制やIT業務処理統制に影響を与えます。
また、システムリプレイスにより業務の進め方や帳票等に変更が生じるため、業務プロセス統制の見直しも必要になります。
それでは、統制別に、どのような影響を与えるのかを見ていきたいと思います。
IT全般統制の構築に与える影響
IT全般統制の構築に与える影響として、システムの環境が変わる事によるシステム管理ルールの見直しが必要になります。
例えば、今まで自社開発のシステムで社内の情報システム部門が管理していたところから、システムリプレイスにより外部ベンダーがシステム管理を行うことになった場合、プログラム変更の申請ルートや申請書等の運用書類等の変更が必要になります。
システム管理ルールが変わることになれば評価すべきポイントも変わってくるため、評価シートの更新も必要になります。
評価項目に対する統制内容を更新するとともに、収集する証憑の名称や評価手続についても更新する必要があります。
ルール等の統制の仕組みや評価手続の再設定といった構築の作業が発生します。
IT全般統制の評価に与える影響
IT全般統制の評価に与える影響として、「開発・導入」に係る評価が必要となります。
当該事業年度中に新規システムの導入が無ければ評価対象外にしていた評価項目ですが、システムリプレイスにより、追加の評価が必要です。
ベンダーの選定資料や導入決定の決裁資料等、システムの『選定』に関わる資料を収集し、評価を行うことになります。
また、設計書や要件定義書、システムのテスト記録等、『開発・導入』に関わる資料の収集・評価を行う必要があります。
その際、設計したプログラムの内容等、システムの中身を評価するのではなく、システムの開発・調達を行う際のルールに沿っているのかという視点で評価を行うことがポイントです。
(例:要件定義書をユーザ部門が承認している、ユーザ部門がテストを行い記録を残している)
留意点として、システムの導入状況を踏まえ、対応を行う点が挙げられます。
次年度でのシステム稼働であっても、システムの開発・導入を当年度で実施している場合、『開発・導入』部分に関しては当年度で評価を行うことが求められる場合があります。
システムの開発・導入の対応を行いながら内部統制対応を並行で行うことになり、作業負荷がかかることが想定されます。
システムの『開発・導入』の評価については、対応時期や評価対象とする項目等について、監査法人と協議しておくことをお勧めします。
IT業務処理統制に与える影響
システムリプレイスにより、自動連係や自動連携等、ITに依拠する統制(IT業務処理統制)が増えることが想定されます。
まずはシステムリプレイス後の業務の流れを確認し、ITに依拠する統制があるかを把握する必要があります。
以下に、ITに依拠する統制の例を挙げます。
・自動仕訳(権限者の承認により、自動で仕訳が確定する)
・自動連携(販売管理システム上のデータが、日次の確定処理により、会計システムに転送される)
・エラーチェック(金額の不一致が生じた場合、エラーメッセージが表示される)
・アクセス制限(担当者、承認者等の権限により、利用できる機能を制限する)
ITに依拠する統制を抽出した後、テスト環境等を利用し、ITに依拠する統制内容を再現し、統制が適切に行われているかを確認したうえで、IT業務処理統制の評価を行います。
システムが稼働したばかりである場合、システムの利用に不慣れであるため、統制内容の再現に時間がかかることがあります。
担当者に対して事前に説明を行うとともに、質問対応等のやり取りを行う時間も考慮し、評価作業を進めることをお勧めします。
業務プロセス統制に与える影響
システムリプレイスにより、業務の進め方や利用してる帳票等の変更が発生します。
まずは、システムリプレイス後の業務内容や統制活動をヒアリングし、3点セットを更新することが必要になります。
その後、更新した3点セットを基に収集する証憑の一覧や評価手続を更新し、評価作業を進めていきます。
システムのリプレイスに伴い、母集団データ(統制活動の総件数を把握するもの)も変わってくる可能性があります。
収集対象とする母集団や母集団データの収集方法について、事前に確認しておく必要があります。
既存の3点セットをベースにしつつ、システムリプレイス前と後の業務を比較しながら、担当者にヒアリングを行います。
業務のイメージを把握するため、実際の画面を閲覧しながら現行業務の確認を行うと、3点セットの更新作業を効率的に進めることができます。
間接業務の自動化ツール『RPA』と内部統制の関連性
『RPA』という言葉を聞いたことはあるでしょうか。
RPAは、Robotic Process Automationの略称です。
頭に「ロボ」とつくので物理的なロボットを想像してしまいますが、あくまでも「ソフトウェア」であって、ロボットではありません。
『定型的な業務を自動化』するためのソフトで、複数のアプリケーションを横断できる巨大なマクロのようなものです。
RPAにはどのようなことができるかと言うと、標準的には、次のような作業を行うことができます。
・データの取得及び入力
・データの検証及び照合
・レポートの作成
・複数システムへのログイン及びデータの受け渡し
RPAに関しては、以下の記事も確認してみてください。
[『RPA』とは何か?~間接業務の自動化ツール~]
では、RPAを導入すると、内部統制にどのような影響があるのでしょうか。
今までの業務では、システムを利用していても、データ入力・登録という作業が発生しました。
RPAを導入することにより、人の手を介さずデータが自動で登録されるようになります。「データの入力を誤る」というリスクがなくなる一方で、自動で計上処理まで行われていることになります。
つまり、ITに依拠する統制が増えることになり、IT業務処理統制の評価に関する重要性が高まることになります。
一度評価を行い有効と判定され、その後システムの設定に変更が無ければ、前年度の評価を踏襲することができます。
RPAの導入により、内部統制評価の効率化にも寄与できる可能性があります。
一方、前年度の評価を踏襲できるための条件として、IT全般統制が有効であることが前提となります。
システム変更やアクセス管理等のシステム管理ルールを整備し、継続的に運用することが必要になります。
まとめ
システムリプレイスが内部統制に与える影響
☑ システムに係るIT全般統制やIT業務処理統制に影響を与える。
☑ 業務の進め方や帳票等に変更が生じるため、業務プロセス統制の見直しとなる。
IT全般統制の構築に与える影響
☑ システムの環境が変わる事により、システム管理ルールを見直す必要がある。
☑ システム管理ルールが変わることに伴い、評価シートの更新も行う。
IT全般統制の評価に与える影響
☑ 評価対象外としていた「開発・導入」に係る評価が必要となる。
☑ システムの開発・導入の対応を行いながら、内部統制対応を並行で行うことになる。
IT業務処理統制に与える影響
☑ システムリプレイス後の業務でのITに依拠する統制があるかを把握する。
☑ システム稼働直後であるため、評価対応に時間がかかることを考慮する。
業務プロセス統制に与える影響
☑ 実際の画面を閲覧しながら、現行の業務を確認し、3点セットの更新を進める。
☑ システムリプレイス後の母集団データの収集方法について、予め確認しておく。
間接業務の自動化ツール『RPA』と内部統制の関連性
☑ 「データの入力を誤る」というリスクがなくなる。
☑ IT全般統制・IT業務処理統制の評価に関する重要性が高まる。