私たちにご依頼いただくことで、以下のようなお悩み・課題を解決できます。
SOCレポートを作りたい。
システム監査を頼みたいけど
IPOコンサルに依頼したけど
最新のIT統制の
内部統制を
IT統制とは、ITの運用が合理的に遂行されるために整備運用される統制のことを指します。
IT統制は内部統制の一部として考えられており、以下の3つに区分されます。
IT全社統制とは、企業集団全体を対象としたITに係わる内部統制のことであり、企業集団全体のITを健全に維持、監督するために構築するものです。IT全社統制には以下の項目が含まれます。
経営者は、ITに関する適切な戦略、計画等を定めているか。
経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。 経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。 ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリスクが考慮されているか。 経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか。IT全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいいます。ITに係る全般統制の具体例としては、以下のような項目が挙げられます。
システムの開発、保守に係る管理
システムの運用・管理 内外からのアクセス管理などシステムの安全性の確保 外部委託に関する契約の管理IT業務処理統制(情報処理統制)とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制です。これらのプロセスには、以下のようなものが含まれております。
システムの処理の妥当性
システムのアルゴリズム 財務報告に対する情報連携がスムーズに流れるためのプロセス業務処理が適切になされるためには、概ね以下の事項が担保されている必要性があるといえます。
システムが業務オペレーションに適切に組み込まれ運用されていること
システム自体がの処理が正しく実行されているかIT業務処理統制の適正性を担保するためには、業務オペレーション自体の知識と、システム自体に対する深い理解が重要だと考えられます。
Point
公認会計士と
公認会計士が内部統制構築支援に関わることはが多いのですが、多くの公認会計士はITに関して明るくないことから、IT統制までカバー出来る人は限られているのが実情です。
また、システム監査技術者はシステム監査に関する専門知識を有しているが、財務諸表監査に関して必ずしも専門性を有していないことから、財務諸表監査の要点を押さえることが出来ません。
しかし、オントロジーであれば、公認会計士とシステム監査技術者のライセンスを持つからこそ、かゆいところに手が届きます。
Point
内部統制のみならず
内部統制の構築支援に関わる公認会計士は非常に多いですが、ITスキルの獲得が非常に難しいことから、IT統制までサポートしている公認会計士はあまり多くないのが実情です。したがって、IT統制に係るサポートを受けたくても受けられない会社が相応数あるのが事実です。
オントロジーでは、システム監査技術者の資格を持ち自らシステム構築を行える公認会計士が、IT統制構築から監査対応までサポートしてきます。
Point
DX推進の知識を活かして
IT統制を構築する際には、企業のオペレーションに組み込まれ効果的に運用される必要があります。しかし、統制を作ることが先立ち実際に運用する人にとって使いづらいオペレーションになり働く人にとってストレスになるケースも少なくありません。
オントロジーは、DX推進の知識を生かして、十分な統制とオペレーションを両立した、効果的なIT統制を構築していきます。
自社開発におけるIT統制において重要な4つの要素
Flow to IPO
システム開発
システム運用
アクセス管理
会計知識
J-SOXにおいては、財務報告に係る内部統制におけるIT統制が監査対象となります。すなわち、会計数値の妥当性がきちんと担保されるようなIT統制が求められるということです。
自社開発システムから吐き出されるデータが会計数値の根拠になっている場合、外部資料との照合で検証することが難しいため、開発体制・運用体制の整備運用がより重要になってきます。
スタートアップ等ではIT統制が整備されてないことが多いため整備が必要ですが、実態に合わない統制を整備しても現場の方から不満が出るため、実態を踏まえて効果的な統制を構築する必要があります。そのためには、エンジニアリングの知識とIT統制の知識の両方が求められます。
オントロジーでは、エンジニアリングとIT統制の知識を用いて効果的なIT統制を構築していきます。
課題に対して適切な
当然ですが企業によって抱える課題は様々です。オントロジーでは本質的なソリューション提供のために、整備後の規程や書類を納品することを目的としたサービスではなく、お客様の課題に対して最も効果的である解決策を成果物として納品しています。
自社開発のソーシャルゲームを開始したが、会計処理に必要なデータの出力及び会計方針が定まっていなかった
エンジニアと経理担当者の間で、必要なデータの要件についてうまくコミュニケーションを取れずデータ要件が定められなかったこと
オントロジーが経理担当者から求める要件をヒアリングして、その内容を基にER図を読み解き、必要なデータが出力出来るSQLと経理オペレーションの定義をした
SOCレポートを取得したい会社がIT統制の構築を強化したいが、どのようにIT統制を構築したいかわからなかった
開発担当のエンジニアがSOCレポートに求められる要件がわからないため、進め方が想定できなかった
SOCレポート取得に必要な要件を明示したうえ、エンジニアに寄り添ったコミュニケーションを実施して、納得してもらいながら進行
モダンな開発体制の企業が、監査法人から実態に合わないレガシーな規程を押し付けられていた
監査法人が会社の実態を見ていない、最新の開発手法を理解していない
会社の実態を適切に把握したうえで、無理のない範囲でオペレーション及び規程類の見直しを行い、監査に耐えられる水準のIT統制等の構築を行った
IT統制を構築する目的は、ITによるビジネスリスクの低減のためです。ITツールを導入する理由は、ビジネスをより良くするためにあります。しかし、システムが正しく導入・運用される体制・システムのロジックの妥当性を検証するための体制が正しく構築されていなければ、システムの誤りによってビジネス上の弊害が起こる可能性が高くなります。そうしたリスクを防止するために、IT統制を構築する必要があります。
IT統制を構築するためには、まずビジネスモデルをきちんと理解をすることが大前提になります。なぜなら、ビジネスを効果的に行うためにシステムを導入するという関係にあるからです。
ビジネスモデルを理解した後、ビジネスにシステムがどのように活用されているかを理解する必要があります。その際に、業務フロー図やシステム関係図を作成して、システム間の連携手段やリスクを識別し、IT統制の構築方針を固めていきます。
財務報告に係る内部統制の構成要素の一部として、IT統制が含まれているという形になります。詳細は以下の図解を参考にしてください。
NPO法人日本システム監査人協会(2020) . 『情報システム監査実践マニュアル第3版』 . 森北出版株式会社 P43を参考に作成
情報処理統制とは、取引及びその他の情報(データ)の網羅性、正確性、正当性に対応するための内部統制です。それらを確保するためには、システムのロジックの妥当性や、データ処理のためのクエリの妥当性等を確保するための仕組みを構築する必要があります。具体的には、ソースコードのレビューやクエリのレビュー、計算結果の妥当性のチェックのプロセス構築が重要です。
01
税務コンサルティング
従来の
02
IPO支援
ショートレビュー
03
DX推進
会計士
04
システム監査
システム
05
IT統制構築支援
システム運用