森本 旭
After J-SOX研究会 運営委員
TIS 産業事業統括本部 産業第1事業部 産業システム営業部 主査
前回は「内部統制評価」業務のアウトソーシングについて検討した。今回はJ-SOXの運用改善と効率化にかかわる話題の最後として、情報システムの改善や再構築について考えたい。
日本版SOX法(金融商品取引法の「内部統制報告制度」)では、内部統制の構成要素として「ITへの対応」が加えられている。このことからも分かるように、情報システムは内部統制強化のために必要不可欠な構成要素である。そこで本稿では、内部統制対応・強化のために新規導入や改善が迫られているシステム機能と、企業価値を高めるグループ経営の基盤としてのERPシステムについて解説する。
内部統制対応で見直しを迫られるシステム機能
財務諸表にかかわるトランザクションの作成・承認・記録・処理・報告など、内部統制の対象となる処理がほとんど情報システムによって行われている以上、IT統制の整備は極めて重要である。以下に、内部統制対応(特にIT全般統制への対応)を目的として導入される、または、見直しを迫られる主なシステム機能と、その理由を述べる(図8-1)。
 |
| 図8-1●内部統制対応の課題と、その解決のために導入・見直しを迫られるシステム機能(中段が「IT全般統制」に対応) [画像のクリックで拡大表示] |
【1】セキュリティ
セキュリティは情報システムの「信頼性」を実現するうえで、すべての階層において重要である。アプリケーションやネットワークのセキュリティはもちろんのこと、サーバーやストレージが設置されているデータセンターへの入退館からIPS(侵入防止システム)まで、包括的にセキュリティが確保されて、初めてデータが改ざんされていないことが保証される。セキュリティ対策の不備は、IT統制の不備と見なされる。
【2】ID管理、アクセス・コントロール
ID管理とアクセス・コントロールの見直しは、内部統制対応の第一歩となる。管理の原則は、ロール(役割)ベースのアクセス・コントロールと権限の分離である。ID管理に不備があると、内部統制が正しく行われていることを保証するのは非常に難しくなる。
【3】システム間連携・統合
ERPシステムとCRMシステムとの連携、あるいは、親会社のERPシステムと買収先企業や子会社のERPシステムとの統合など、様々な場面でシステム間連携・統合が求められている。こうしたシステム間連携・統合は、内部統制対応・強化の観点では次のような意味を持つ。
(1)正確性/網羅性:システムが連携・統合されていないということは、その部分を人手で補っているということであり、入力ミス、不正操作、漏れなどのリスクが介入し得ると考えられる。
(2)即時性:アプリケーションが連携・統合されていない状況では、即時性の要求に対応できない。例えば、ある業務の不備がグループの業績に影響を及ぼす場合、統合されていないシステムでは、不備が発覚するまでに時間を要する場合がある。また、この事象が決算に与える影響を即座に分析することも困難である。
(3)データの品質:アプリケーションが連携・統合されていない場合、帳簿ごとに記録されている情報が異なることがある。また各子会社のERPシステム上で定義している会計ルールが異なるため、それぞれのデータが持つ“意味”が違ってしまうこともありうる。このような状況では、どのデータが正しいのかを特定することは困難である。
ここまで、導入または見直しを迫られる主なシステム機能について説明してきた。ただし、内部統制対応・強化という名目だけで、直ちに情報システムを構築したり、機能強化のためのツールを導入したりすることは、コストや作業の複雑さを考慮すると、なかなか難しい面がある。その困難を克服して、アプリケーションの統合性・一貫性を実現するために、ERPパッケージなどを使ってシステム再構築に踏み切る企業もあるが、実際にはミドルウエアやWebサービスなどのインテグレーション技術によって統合を図る企業も多い。
また、ビジネス・インテリジェンス(BI)ツールやビジネス・プロセス管理(BPM)ツールを利用し、複数の情報をプレゼンテーション層で統合して、内部統制評価・モニタリングを行う方法もある。BPMツールを導入すると、全社業務の効率や負荷の状態をリアルタイムに把握でき、単なる内部統制対応にとどまらない、企業価値向上に向けた戦略的な活用が可能となる。
