システムの老朽化や業務の効率化を目的とし、IT投資を検討している企業様もいらっしゃるのではないかと思います。システムリプレイスが発生すると、業務やIT管理に変更が生じ、内部統制にも大きな影響を与えます。システムリプレイス後の業務状況を踏まえ、3点セットや評価調書を更新し、その上で評価を行うことが必要になります。
新システムの導入作業と並行して、内部統制対応も行うことになるため、その時期における関連部門の負荷は大きくなります。一方で、期末までに内部統制評価を完了させる必要があるため、内部統制対応を見据えると、下期等、期末に近い時期でのシステム導入は避けることをお勧めします。また、内部監査部門としては、システムの稼働状況を踏まえながら、内部統制の構築・評価を進める必要があるため、情報システム部門と連携しながら、システムリプレイスの開始段階から状況を把握しておくべきです。
今回の記事では、システムリプレイスに伴う内部統制への影響と対応について、解説します。
システムリプレイスが内部統制に与える影響
まず、システムリプレイスによって、内部統制にどのような影響が出るかを見ていきたいと思います。大きくは業務面・システム面で影響があります。業務面では、業務手順や承認方法等、業務プロセスに変化が生じます。コントロール内容や証憑等が今までと変わり、システムリプレイス後の業務運用に合わせ、3点セットを更新することが必要になります。コントロール内容の変更があると、業務プロセス統制の評価手続を見直すことになります。
システム面としては、システムリプレイス後のシステム環境を踏まえ、今までのシステム管理ルール(規程・細則・マニュアル等)を見直すことになります。システム管理ルールの変更に伴い、IT全般統制の統制内容が変更になり、評価手続を含め、評価調書を更新することが必要です。また、自動処理等の機能が導入されることになれば、IT業務処理統制にも影響を与えます。
基幹システム等のリプレイスがある場合には、経理部分だけでなく、販売・購買・在庫等、幅広いプロセスに影響を与えます。システムリプレイス直後は業務運用が安定しないため、不備が発生しやすくなることも留意しておくべきです。
システムリプレイスにより、評価スケジュールにも影響を与えます。新システムの稼働後から、3点セット等の文書更新、評価を行うことになり、例年の評価スケジュールとは異なってきます。例年の評価に加え、システムリプレイスに伴う内部統制対応も必要になるため、作業工数を確保しておくべきです。
システムリプレイスにより、内部統制関連文書の更新や評価方法の見直し等、内部統制対応に大きな影響を与えます。システムリプレイスに伴う内部統制対応に係るリソース・スケジュール管理も重要です。
IT全般統制の構築に与える影響
まずは、システムリプレイスがIT全般統制の構築に与える影響を解説します。システム環境が変わることにより、規程や細則、マニュアル等、システム管理ルールを見直す必要があります。例えば、今までは自社開発のシステムで、社内の情報システム部門が管理していたところから、外部ベンダーがシステム管理を行うことになった場合、プログラム変更の申請ルートや申請書等の運用書類の変更が必要になる可能性があります。システム管理ルールが変われば、評価ポイントも変わってくるため、IT全般統制評価調書の更新も必要です。評価項目に対する統制内容を更新するとともに、収集する証憑や評価手続も見直すことになります。
システムリプレイスに伴うIT全般統制構築の進め方としては、以下になります。
①システム管理ルールの見直し
IT環境の変更(クラウド化等)に伴い、既存のシステム管理ルールを見直し、システムプレイス後の環境に合わせて更新します。
②申請書類の見直し
システム管理ルールの変更に伴い、申請書類(プログラム変更やアカウント発行の申請依頼書等)の見直しを行います。
③IT全般統制評価調書の更新
システムリプレイス後のシステム管理状況を踏まえ、統制内容や評価手続、評価証憑等、IT全般統制評価調書を更新します。
クラウド化、パッケージシステム等、新システムの導入により、既存のシステム管理ルールを見直す必要があります。ルールが変わるということは、統制内容(コントロール)にも影響を及ぼし、評価内容を見直すことになります。
IT全般統制の評価に与える影響
続いて、システムリプレイスがIT全般統制の評価に与える影響を解説します。当該事業年度中に新規システムの導入が無ければ、システム開発に関する評価は対象外としていましたが、システムリプレイスがあると、評価が必要になります。ベンダーの選定資料や導入決定の決裁資料等、システムの『選定』に関わる資料を確認します。また、システム設計書や要件定義書、システムのテスト記録等、『開発・導入』に関わる資料の確認も行うことになります。
「システム開発」に関する評価というと、プログラム内容や設定の正確性等をイメージするかもしれませんが、あくまでも内部統制の評価と考えるべきです。設計したプログラムの内容等、システムの中身を評価するのではなく、システムの開発・調達を行う際のルールに沿っているのかという視点で評価を行うことがポイントです。システム開発に関する評価は例年行われないため、情報システム部門に対し、ルール通りにシステムの選定・開発・導入に関する記録を残すように伝えておくことをお勧めします。
システムリプレイスに伴うIT全般統制評価の進め方としては、以下になります。
①システムリプレイス実施時期の確認
システムの稼働時期により、どの年度で評価するかを含め、評価スケジュールが変わります。情報システム部門とも連携しながら、評価スケジュールを検討します。
②システム開発・導入を含めた評価証憑の収集
規程類等のルールや統制内容を踏まえ、評価証憑の提供依頼を行います。その際、システムの選定や開発導入に関する証憑も依頼します。
③評価の実施
変更したコントロールや評価手続について、監査法人の合意を得ます。評価手続を参照しながら、証憑を確認し、評価を行います。
新システムの稼働時期により、評価の実施時期も変わってきます。システム導入は遅れる傾向もあるため、随時、情報システム部門に確認しながら、評価スケジュールを検討することが必要です。
IT業務処理統制に与える影響
次に、システムリプレイスがIT業務処理統制に与える影響を見ていきたいと思います。システムリプレイスにより、自動でのデータ連携等、ITに依拠するコントロール(IT業務処理統制)が増えることが想定されます。まずは、システムリプレイス後の業務の流れを確認し、ITに依拠する統制があるかを把握します。IT業務処理統制の評価は、評価対象部門の協力を受けながら、テスト環境等を利用してコントロールを再現し、確認することになります。システムが稼働したばかりであると、評価対象部門でもシステムの利用に不慣れであるため、統制内容を再現するのに時間がかかることがあります。どのように評価するか、情報システム部門の協力を得ながら、評価対象部門とも協議し、検討するべきです。
システムリプレイスに伴うIT業務処理統制対応の進め方としては、以下になります。
①ITに依拠するコントロールの把握
3点セットをベースに、各プロセスにおける自動計算・電子承認等のコントロールが無いかをヒアリングします。
②コントロールの設定
ヒアリング結果を踏まえ、ITに依拠するコントロールを設定し、評価調書に反映させます。
③評価手続の検討
コントロール内容を踏まえ、評価対象部門と協議し、評価方法を検討します。
④評価の実施
変更したコントロールや評価手続について、監査法人の合意を得ます。評価手続を参照しながら、証憑を確認し、評価を行います。
自動化を目的とし、システムリプレイスを行うこともあり、ITに依拠するコントロールは増えると考えられます。初めは評価に苦慮するかもしれませんが、IT業務処理統制は手動統制よりサンプル件数が減るため、より効率的に評価作業を進めることができます。
業務プロセス統制に与える影響
最後に、システムリプレイスが業務プロセス統制に与える影響を見ていきます。システムリプレイスにより、業務の進め方や利用してる帳票等の変更が発生します。まずは、システムリプレイス後の業務内容や統制活動をヒアリングし、3点セットを更新することが必要です。その後、更新した3点セットを基に、評価手続や評価証憑の一覧を更新し、評価作業を進めていきます。システムリプレイスに伴い、母集団データ(統制活動の総件数を把握するもの)も変わります。対象とする母集団データやその収集方法について、事前に確認しておく必要があります。
システムリプレイスに伴う業務プロセス統制対応の進め方は、以下になります。
①システムリプレイス後の業務フローの確認
既存3点セットの基に、システムリプレイス後の業務フローを確認します。また、コントロール内容の変更有無やシステムリプレイス後における証憑もヒアリングします。
②3点セット・評価調書の更新
ヒアリング結果を踏まえ、コントロール内容や評価証憑、評価手続等、3点セット・評価調書を更新します。
③母集団データの協議
コントロール内容を踏まえ、母集団データを検討します。母集団データの収集方法も含め、評価対象部門と協議し、監査法人の合意も得ておきます。
④評価の実施
変更したコントロールや評価手続について、監査法人の合意を得ます。評価手続を参照しながら、証憑を確認し、評価を行います。
3点セットの更新や評価手続の見直しといった作業が多く発生します。一方、システムリプレイス後、業務運用が確定するまでには一定の期間を要します。評価対象部門の業務状況を加味しながら、作業スケジュールを慎重に検討すべきです。
まとめ
新システムの稼働時期により、システムリプレイスに伴う内部統制対応のスケジュールが変わってきます。また、システムの導入作業やテスト等、システムリプレイスに係る対応と並行し、内部統制対応も行う必要があります。システムリプレイスが行われる際は、情報システム部門とも連携しながら、新システムの導入時期を確認し、スケジュール・各部門との役割分担を調整し、内部統制対応を進めていくことをお勧めします。
■システムリプレイスが内部統制に与える影響
☑例年の評価に加え、3点セットや評価調書等の文書更新や評価手続の見直しが必要になる
☑システムリプレイスに伴う内部統制対応に係るリソース・スケジュール管理が必要である
■IT全般統制の構築に与える影響
☑クラウド化、パッケージシステム等、新システムの導入により、既存のシステム管理ルールを見直す
☑統制内容(コントロール)にも影響を及ぼし、評価内容の見直しを行う
■IT全般統制の評価に与える影響
☑システムの開発・調達を行う際のルールに沿っているのかという視点で評価を行う
☑システムの稼働時期を踏まえ、評価の実施時期を検討する
■IT業務処理統制に与える影響
☑システムリプレイスにより、自動でのデータ連携等、ITに依拠するコントロール(IT業務処理統制)が増える
☑今までの手動統制から自動統制に変わり、次年度以降は効率的に評価を進められる
■業務プロセス統制に与える影響
☑システムリプレイスにより、業務の変更はあり、3点セット・評価手続・母集団データに影響を及ぼす
☑評価対象部門の業務状況を加味しながら、作業スケジュールを慎重に検討する