お知らせ
- 「ITpro Smart」リリース!
- 書籍「IT提案戦術」5月21日発売!
- 電子ブック新刊!「説得・交渉術」など
|
|
|
 |
| 図2●ワーナーミュージック・ジャパンは画面の変更のみで統制を実現 権限のない商品単価を修正できるリスクがあった。ロジックの変更を行わず,画面部分の修正だけで内部統制 を確立した [画像のクリックで拡大表示] |
不正入力という点で特に見逃せないのは,マスター・データだ。これを不正に書き換えられると,財務上の数字に与える影響は大きい。例えば取引先コードのマスター・データの場合,不正に書き換えられると,架空の取引先から商品を受注したようにみせかけて,架空の売り上げを計上できてしまう。横領のために架空の取引先に現金を支払ったりすることも可能になる。
ヤンセンファーマの輿水隆行氏(情報システム部 Chief Information Compliance Officer)は,「在庫マスターや仕入れ先マスターといった重要な情報に,不正な変更がなかったかを確認するために操作ログを取得し,確認するようにしている」。
日本ユニシスでSOX法対応コンサルティングを手掛けている八津川直伸氏(JSOXサービスチーム マネージャ)は,「誤った取引先コードの入力を防ぐために,決められたファイル・サーバーから取引先コードを毎回ダウンロードし,そのファイルにあるコードを入力する。その上で,入力したコードを上司がチェックするといった仕組みも有効だ」と語る。
企業によっては,財務諸表や在庫数などの重要な情報を,マクロを組み込んだ表計算ソフトで管理している場合がある。例えば,上場している企業の子会社が連結決算のために,表計算ソフトを使って決算情報のファイルを作成し,それを親会社に送信しているようなケースである。 この行為自体が悪い訳ではないが,マクロを無断で修正できてしまうと,不正データが生み出されるリスクとなる。そこでガートナージャパンの松原氏が勧めるのが,ファイル・サーバーで原本のファイルを管理し,そのファイルのマクロをそのまま使うようにする方法だ(図3)。
 |
| 図3●財務諸表の作成に表計算ソフトを利用している場合の統制例 ファイル・サーバーでのアクセス権限設定と,原本とのマクロ比較がポイントになる [画像のクリックで拡大表示] |
具体的には,まずマクロを組み込んだ表計算ソフトのファイルを原本とし,修正できないようにしておく。また,ファイル・サーバーのアクセス制御機能を使って,ファイルを操作できる担当者を絞り込んでおく。担当者が財務諸表の作成といった作業をする場合は,この原本ファイルをコピーする。コピー・ファイルは修正可能だが,マクロは修正しないで使う。後から上長が,入力された数字のチェックに加え,原本ファイルのマクロと作成したファイルのマクロを比べることで,不正な修正がないかを確認する。
こうした運用が難しい場合は,「複数の担当者に同じ財務諸表の作成を依頼し,その結果を突き合わせるといった方法もある」(KPMGビジネスアシュアランス 執行役員 マネージングディレクター 橋本勝氏)という。
