最近，IT分野でも「内部統制」が話題に上っている。だが，ITエンジニアで，内部統制を理解できている人はまだ少数派のようだ。そこで，内部統制とはどんなもので，どんな対策が必要になるかを解説しよう。

　雑誌やネット，さらにはテレビCMでも「日本版SOX法対応」という言葉が取り上げられるようになっている。SOX法とは米国の2人の議員（Sarbanes氏とOxley氏）によって提案され，2002年7月に米国で制定された「企業改革法」である。企業の内部統制を義務化する法律であり，SOX法という呼び名は提案した議員2人の名前に由来する。

　「日本版SOX法」とは，こうした米国での流れを受けて2006年6月に国会で成立した「金融商品取引法」を指す。金融商品取引法は証券取引法をベースに金融先物取引法，投資顧問業法など，金融取引についての関連法令を一本化したものであり，その一部で財務報告における内部統制の整備を求めている。適用は2008年4月1日以降に始まる会計年度からとなる。適用時期がわずか1年余り先に迫っているため，いろいろなところで話題となっているのだ。

数字を導くまでの“行動”もチェックされる

　では，そもそも内部統制とは，どういうものなのだろうか？

　内部統制を語る上で必ず取り上げられるのが，2001年12月に破綻したエンロンや，それを上回る総額410億ドルという巨額の負債を残して破綻したワールドコムの会計不祥事だ。国内でもいくつかの企業における粉飾決算が新聞を賑わしてきた。これらはみな内部で不正な会計操作が行われた結果起こった事件だ。

　こうしたことを繰り返さないように，経営者や従業員の不正やミスによるリスクをなくす組織的な仕組みおよび活動が，内部統制と呼ばれるものだ。

　粉飾決算などの不正が発覚すれば，行政処分が科されるのはもちろんのこと，顧客や取引先，そして市場からの信頼も喪失し，企業としての存続も危ぶまれる。そうした事態に陥らないためには，第三者によるしっかりとしたチェック体制が必要となる。

　もっとも，これまでの証券取引法，会社法，税法でも，第三者による財務報告のチェックは義務付けられていた。それが会計監査であり税務調査である。ただし，これらのチェックは最終的な数字の“整合性”を重視するものであり，その数字が導き出される過程までは厳しく問われなかった。これに対して，内部統制では財務報告を導き出すまでの“行動”がチェックの対象になる。日本版SOX法が適用される2008年4月以降の会計年度の財務報告では，企業は外部監査人に内部統制の活動をきちんと説明することが必要になる。

従来の業務フローを見直し
ミスや不正の可能性をチェックする

　内部統制について，もう少し具体的に見ていこう。少々硬い言い回しになるが日本版ＳＯＸ法の実施基準では，内部統制全体を「経営者が維持すべき四つの目的が達成されていることへの合理的な保証を得るためのプロセスである」と定義している。

　四つの目的とは「業務の有効性・効率性」「財務報告の信頼性」「法令等の遵守」「資産の保全」である。そして，これらの目的を実現するためのプロセスは業務に組み込まれ，組織内すべての者によって遂行されなければならない。プロセスには「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「ITへの対応」という六つの基本要素がある（図1）。

図1●ITから見た内部統制のフレームワーク [画像のクリックで拡大表示]

　この中で，財務報告の信頼性を維持するための評価・監査を実施して，内部統制報告書として提出を求められるのである。

　外部監査人は，適切な統制が全社的に機能しているかどうか心証を得た上で，「それにもとづき，虚偽記載につながるリスクに着眼して業務プロセスに係る内部統制を評価する」ことになる。やや分かりにくい表現だが，要するに財務報告書の記載が適正であるかを判断するために，業務プロセスにおいて不正やミスが発生しない仕組みが出来ているかをチェックする，というわけである。

　ITエンジニアにとって気になるのは，内部統制とITの関係だろう。業務プロセスに係る内部統制を担保するため業務プロセスに組み込まれたITによる統制は，IT業務処理統制と呼ばれる。IT業務処理統制には「入力情報の完全性，正確性，正当性を確保する統制」「例外処理（エラー）の修正と再処理」「マスター・データの維持管理」，そして「システムの利用に関する認証，操作範囲の限定などアクセスの管理」の四つがある。

　そして，その業務プロセスをさらに担保するものとしてIT全般統制がある。こちらには「ITの開発，保守に係る管理」「システムの運用・管理」「内外からのアクセス管理などシステムの安全性の確保」，そして「外部委託に関する契約の管理」がある。そう，もうお気づきのとおり，これらは通常行われている運用管理の業務にほかならないのである。

　内部統制と言われると，いかにも難しいことのように思われがちだ。だが，ITエンジニアにとって，その大半は従来からの開発・運用管理をしっかり体系を立てて行うことなのだ。もっとも日本版SOX法が施行された後も，これまでどおり漫然と運用管理業務を続けていればいいのかといえば，そうはいかない。やはり，これまでの業務フローをしっかりと見直し，不正が起きる可能性がないのか，ミスが生じる可能性がないのかなどをチェックしていく必要がある。

ユーザー権限の適切な管理が内部統制の基盤となる

　では，実際の業務を例に，どのようなポイントを押さえていけばいいかを考えてみよう。

　例えば，ある社員が経理部門に対して経費の支払いを要求するシチュエーションを想定してほしい。この場合，まず部門の担当者が請求書を受け取り，その部門で審査する。問題がなければ，その部門長が請求書を承認し，経理部門へ出金を指示する。経理部門がその支払いを承認すれば，出金という流れになる。

　これらを内部統制という観点から見ると，まず入力情報の完全性，正確性，正当性が確保されているか，エラー・データの修正と再処理の機能が確保されているかがポイントとなる（図2）。また，マスター・データの正確性が確保されているか，システムの利用に関する認証・操作範囲の限定など適切なアクセス管理が行われているかの確認も必要だ。実際の業務でいえば，データ入力者の権限の有無，入力時のルールの徹底，捺印など所定の証跡を残しているかのチェックなどが求められる。

図2●日常で必要になる内部統制業務とITの関係 [画像のクリックで拡大表示]

　これらは，ITシステムによってかなりの部分が解決できる。例えば，入力値が適正かどうかは，システム側であらかじめチェック・ルールを登録して，間違った値が入力できないようにしておけばよい。データ入力者の権限についても，システムを使って管理しておく。業務における入力ルールに即したシステムに改良することで，入力時点での単純なミスは防げるようになるはずだ。

　このような入力やアプリケーションによる業務のコントロールのほかに，不正や誤りを発見することができるような仕組みも望まれる。たとえば，誰がこの仕訳の計上を認めたのかという業務責任の範囲に加えて，この仕訳計上のコンピュータ・オペレーションは誰が実行したのかということをチェックしながらトラブルを未然に防いでいくことができるようにする。つまり，日常的なチェックや監査に必要な証跡の定義を見直し，システムで行えることはシステム化したり，各行動をログとして記録していくことも重要なポイントとなる。

　ITエンジニアにとって重要になるのは，やはりユーザーの権限管理だ。業務プロセスにおける権限管理とは通常，「一定金額以上になると，課長以下では決済できない」「この部門ならば決済できる」といった業務ルールの管理を意味する。そのため，IT業務処理統制でいわれる権限管理は，業務の責任範囲と密接に係る内容となる。一方で，IT全般統制から見た権限管理は，それとはやや異なる。システム運用部門や業務委託先で，データを勝手に書き換えられるか，書き換えられないかという権限，いわゆる“スーパーユーザー”など，システム・レベルにおける権限の管理を意味してくる。

内部統制は業務見直しの好機

　新聞などで話題になる情報漏えい事件の多くは，業務委託した協力会社の人間が無断でデータを持ち帰ることで発生している。日本版SOX法対策で，権限管理の見直しは最初に実施すべき作業と言えるだろう。

　内部統制に取り組む上で悩ましいのが，誰が業務プロセスのチェックを実施するかということだ。

　例えば経理業務の場合，本来ならば，システムに対する要求を出す立場にある経理部門が業務プロセスのチェックを実施すべきだろう。しかし実際には，経理部門の多くはコンピュータで処理される経理業務の詳細をブラックボックス視している。結果としてIT部門が経理部門に代わって業務プロセスの見直しを担当するケースが増えている。

　だが，前向きに考えれば，内部統制の構築は，ブラックボックス化してしまった業務プロセスを見直し，業務やシステムの効率化・簡素化を実現するチャンスでもある。実際に業務プロセスを見直すことで，不要な補助簿や証憑が数多く見つかることも少なくない。システム部門にとっての長年の課題である“見通しの良い”システムを構築する上で，内部統制は絶好の機会なのだ。

※　　　　※　　　　※

　内部統制で求められていることは，一般業務部門の業務を明文化し，リスクとそれに対する対応策を講じることのみならず，そこで使用されているITシステムを預かるシステム部門の業務の明文化とリスク対策をも含んでいる。内部統制に真剣に取り組もうとすれば，その作業量は膨大であり，関連する業務を特定し，優先順位付けしながら対応することが必要になる。

　財務報告の信頼性に関しては，企業会計審議会の「財務報告に係る内部統制の評価および監査に関する実施基準」（注1）や経済産業省の「システム管理基準 追補版」（注2）など，日本版SOX法への対応で参考になるガイドラインも発表されている。これらの中では，整備すべき範囲や指標・評価対象の考え方などを示している。ここで言われている指標などと自社のシステムとの関連に留意して，対象となるシステムや運用のプロセスを優先付けしていくとよい。

　また，システム運用のガイドラインとして,「ITIL（Information Technology Infrastructure Library）」や，情報の信頼性を維持するための一般的な考え方として情報セキュリティマネジメントシステム（ISMS）の認証取得や個人情報保護法への対策で実施したリスクへの対応策も参考になる。

　システム部門はこれらのガイドラインを参照することで，内部統制の構築作業を効率化できるはずだ。