企業におけるITシステム利用時の機関設計と内部統制

IT・情報セキュリティ

 当社ではワークフロー管理や情報共有などの業務にITシステムを利用しています。業務でITシステムを利用するなかで内部統制の観点から留意すべき点について、ITシステムの利用方法の具体的な設計例とあわせて教えてください。

 業務にITシステムを利用する際は、会社における機関設計も関連させてITガバナンスを構築していくべきです。特に内部統制システムの観点から、「IT統制の評価」「内部監査部門からの報告」「会計監査人との連携」「内部通報制度の整備」などの方法を検討する必要があります。

解説

目次

  1. ITシステムと監査の仕組み
  2. 監査等委員会設置会社とは
  3. 具体的な監査のプロセスの構築

ITシステムと監査の仕組み

 企業の日々の業務活動において、ワークフロー管理システムや情報共有プラットフォーム上で関係者が情報を共有し、また取引や金銭面の管理も同様の仕組みで行っている例が増加しています。企業活動のもとではITシステムが重要な役割を占めており、まさに情報の活用のための仕組みである「情報ガバナンス」のための枠組みがきちんと構築されるべき対象といえるでしょう。

 「情報ガバナンスの考え方と検討のポイント」において、情報ガバナンスにあたっては、利益・効率という目的とともに、リスクへの合理的な対応という目標の実施が必要になることに触れました。法的にも、取締役会としては、このような理念に基づく体制を構築しなければなりません。

 会社法362条4項6号は、取締役会は、取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして具体的に法務省令で定められているものを整備しなければならないとしています。

 この体制の具体的な構築の仕組みについて考える場合には、会社における機関設計も関連させて考えることが合理的です。そこで、近頃、採用が増加している監査等委員会設置会社を例にして、具体的に見ていくことにしましょう。

監査等委員会設置会社とは

 監査等委員会設置会社とは、2015年5月1日施行の改正会社法により新たに導入された株式会社の機関設計の1つで、監査役会に代わって過半数の社外取締役を含む取締役3名以上で構成される監査等委員会が、取締役の職務執行の組織的監査を担うというものです(会社法331条 6項)。監査役会設置会社を継続する場合は、社外取締役を最低3名以上置くことを検討しなければならないのに対して(会社法327条の2、335条3項)、監査等委員会設置会社に移行した場合は、社外取締役を最低2名以上選任することで足りることになり(会社法331条6項)、社外取締役が1人少なくて済むということもいえます。また、監査役の任期は4年であるのに対し(会社法336条1項)、監査等委員である取締役の任期は2年であるため(会社法332条)、改選について柔軟に対応できること、「社外取締役を置くことが相当でない理由」の説明や開示が不要となることから(会社法327条の2)、近時、採用がなされることが多くなってきています。

 監査等委員会は、取締役の職務の執行の監査および監査報告の作成をその職務のひとつとします(会社法399条の2第3項1号)。この監査は、内部統制システムを利用した監査が行われることが想定されています。内部統制システムには、不正などが起きないように前もって行っておく施策(予防的統制)と不正が発覚した後に備えた施策(発見的統制)とがあります。上述の監査等委員会が行う監査は、具体的には主に、内部統制システムが適切に構築され、運用されているかということをチェックし、内部監査部門から報告をうけ、また、必要に応じて内部監査部門に対して指示を出すことにより行われます1

具体的な監査のプロセスの構築

 仮にあなたが会社の監査等委員としての取締役だとすると、具体的には以下のようなプロセスで監査がなされることになります。

(1)業務活動に対するIT統制の評価

 あなたが取締役を務めている会社で具体的に行われている業務活動とITシステム上の処理がどのように関わっているのかを理解するのが最初のステップになります。この理解を前提として、以下のようなリスクを認識し、それらに対して対応措置(コントロール)が採られているのかを確認します。

  • 当該システムを利用した場合にどのような不正行為が想定されるか
  • システムの脆弱性がないか
  • システムを利用した不正行為を防止するためのセキュリティが確保されているか
  • ヒューマンエラーがあった場合にも損害を未然に防止する体制が確保されているか

 もし、ITについて外部委託を行っている際には、当該委託先についてもコンプライアンス、セキュリティが確保されているか等を確認し、是正をしていく必要があります。また、それらについてそれぞれ証跡を確保しうるのかを確認し、それらがリスクに対して合理的かを評価します。

(2)内部監査部門からの報告

 日常的な業務としては、定期的に、内部監査部門から報告をうけることになります。内部監査部門は、内部監査に関する計画を作成して、それを実施することになります。社団法人日本内部監査協会が2004年に公表した「内部監査基準」によれば、内部監査の対象範囲には、原則として組織体内のすべての業務活動が網羅される必要があり、また、次に掲げる事頂についての監査業務または診断業務が含まれていなければならないとされています 2

  • リスク・マネジメント
  • コントロール(組織体のコントロール手段)
  • ガバナンス・プロセス

(3)会計監査人との連携

 監査等委員会設置会社において、会計監査は、会計専門家である会計監査人が1次的な監査を行い、監査等委員会は、それを前提とした2次的・補充的な監査として、会計監査人の監査の方法および結果の相当性のチェックを行います(会社法 396条、397条)。そのために、会計監査計画の把握をなし、その内容について、会計監査人との間で意見交換をしています。法的にも、会計監査人は、監査等委員会に対して報告義務を負っています(会社法 396条)。

(4)内部通報制度の整備

 内部通報とは、組織(企業)内部の人間が、所属組織の不正や法令違反等の行為などを、企業の内部に設けた窓口に通報することをいいます。法律としては、公益通報者保護法があり、同法は、公益通報をしたことを理由とする公益通報者の解雇の無効等ならびに公益通報に関し事業者および行政機関がとるべき措置を定めています(公益通報者保護法1条)。また、「公益通報者保護法を踏まえた内部通報制度の整備・運用に関する民間事業者向けガイドライン 3」が公表されており、事業者が実効性のある内部通報制度を整備・運用することは、組織の自浄作用の向上やコンプライアンス経営の推進に寄与し、ステークホルダーからの信頼獲得に資する等、企業価値の向上や事業者の持続的発展にもつながるものであるとされています。

 組織の規模、文化などとも関係しますが、内部通報の仕組みは、不正の兆候等について発見できるような仕組み(発見的統制)として、有効であると考えられています。


  1. 金融庁 企業会計審議会 内部統制部会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」15頁(3)(平成23年3月30日、閲覧:2019年7月2日) ↩︎

  2. 社団法人日本内部監査協会「内部監査基準」(平成16年6月、閲覧:2019年7月1日) ↩︎

  3. 消費者庁「公益通報者保護法を踏まえた内部通報制度の整備・運用に関する民間事業者向けガイドライン」(平成28年12月9日、閲覧:2019年7月2日) ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する