IPO支援(株式上場支援)
近年、多くの企業でExcelのマクロやRPA(ロボティックプロセスオートメーション)が日常業務に取り入れられています。これらは業務効率の向上に大きく寄与する一方で、内部統制上のリスクもともないます。
現場には、「これらはIT全般統制(ITGC)の対象となるのか?」と疑問を持つ方も少なくありません。実務上は、すべてを一律に統制の対象とするのではなく、財務報告に与える影響の度合いや利用実態に応じて対象を整理することが重要です。
実務上想定される代表的なリスクと、それらに対応するコントロールを整理すると以下のとおりです。
これらのコントロールを検討する際に重要なのは、「すべてをIT全般統制の対象として管理すべき」とするのではなく、財務報告への影響の度合いや、利用実態、管理体制に応じて統制の適用を判断することです。
統制の種類 | 適用対象 | 管理方法の例 |
---|---|---|
IT全般統制 | 会社の財務報告に影響を与える可能性のあるマクロやRPAの開発、変更、運用業務 | 上述の2~6の変更管理、アクセス管理、運用管理 |
IT業務処理統制 | マクロやRPAが自動で実行する個別の処理(データの入力、計算、出力など) | 入力チェック、二重処理防止、エラー処理 |
マニュアル統制 | RPAやマクロが生成したデータの最終確認や突合作業 | 照合、目視チェック |
適用例(適用業務) | 統制の選択例 | 理由 |
---|---|---|
財務報告に直接影響を与える業務 (例:決算処理、給与計算、納税関連のRPA) |
すべてを実施 | 誤りや不正が発生した場合の影響が甚大なため、厳格な統制が必要。 |
影響が中程度以下の業務 (例:社内のレポート作成、データ集計のマクロ) |
IT業務処理統制とマニュアル統制 | IT全般統制にかかる手間を抑えつつ、業務処理の正確性を確保し、人が最終確認することでリスクを軽減。 |
影響が限定的な処理 (例:個人的なタスク管理のマクロ、簡易的なデータ整形) |
マニュアル統制のみ | リスクが非常に低く、エラーが発生してもすぐにリカバリーできるため、人による簡単なレビューのみで十分と判断。 |
これらの統制に加え、企業として定期的にマクロやRPAの利用状況を棚卸しし、内部統制部門が点検を行う仕組みを整備することが望まれます。これは現場任せの運用による形骸化を防ぎ、統制の実効性を維持するうえで有効です。
マクロやRPAは業務効率化に大きく寄与する一方、適切にコントロールしないまま放置すれば内部統制上の弱点となるリスクがあります。重要なのは、財務報告への影響の度合いに基づくリスク評価を行い、「IT全般統制」「IT業務処理統制」「マニュアル統制」の枠組みを踏まえて、リスクに応じて適切に統制を適用し、必要な場合は複数の統制を組み合わせることです。企業は自社の利用実態に応じたコントロールを組み合わせることで、効率化と内部統制の両立を図ることができます。まずは自社で利用しているマクロやRPAの現状を棚卸しし、どの統制で管理すべきかを確認することが第一歩です。
BBSの公認会計士コンサルタントは、クライアントの実務に即した統制の整備・運用を支援します。
※本コラムの内容は筆者個人の見解であり、BBSの公式見解ではありません。
SSBJ基準解説・実務対応 第3回―関連する財務諸表―
SSBJ基準解説・実務対応 第2回―報告企業―
SSBJ基準解説・実務対応 第1回―目的・範囲―
会計業務の改善、改革におけるプロフェッショナルの活用
サステナビリティ情報開示:SSBJハンドブックの概要と実務上の影響(2025年7月)―内部炭素価格、カーボン・クレジット―
サステナビリティ情報開示:SSBJハンドブックの概要と実務上の影響(2025年7月)―SASB、産業横断的指標、資本投下―
IPO監査で指摘されやすい“IT全般統制の落とし穴”
サステナビリティ情報開示:SSBJハンドブックの概要と実務上の影響(2025年6月)(3)
サステナビリティ情報開示:SSBJハンドブックの概要と実務上の影響(2025年6月)(2)
サステナビリティ情報開示:SSBJハンドブックの概要と実務上の影響(2025年6月)(1)