 図4 「IT業務処理統制」を支援するソフト製品の例 [画像のクリックで拡大表示] |
SOX法対応におけるIT全般統制をターゲットにしたソフトのほとんどは、既存製品である。これらを利用して、業務処理を自動化したり、各業務プロセスの監視ができる。例えば、ワークフロー・ソフトを導入して「伝票の起票者がその伝票を自分で承認できないように設定する」、アプリケーションへのアクセス管理ソフトを導入して、「部門長以上でなければ、1000万円以上の取引を承認できないようにする」といった具合である。
またBIソフトベンダーは、企業のリスクに関するKPI(重要業績指標)を設定、KPIを定期的に確認することが、リスクを軽減する統制活動の一つになるとしている。いずれも各ソフトが持つ基本機能であるが、これがSOX法対応に役立つとベンダーはアピールしているわけだ。ERPパッケージ・ベンダーも同様の主張をしている。
SAPジャパンの竹内在J-SOXチームリーダーは「ERPパッケージに内部統制は元々組み込まれている」と説明する。ワークフローや、役職別にアクセス権限を管理する機能はもちろん、一度入力したデータを変更できないようにする、各モジュールで入力したデータを一つのデータベースでリアルタイムに管理する、といった機能が内部統制の確立に有効という(図4)。
ERPベンダー各社は、SOX法対応の機能を拡充するため、既存製品を補完するソフトを提供している。例えば、SAPジャパンは先にみたMICという SOX法対策プロジェクト支援機能を提供。さらに米国では1996年から出荷していた「SAP Compliance Calibrator(CC)」というモジュールを昨年11月から日本で出荷した。
このモジュールを使うと、SAPのアプリケーション・モジュールの中で起こり得る不正行為を監視できる。「伝票の起票者に承認の権限も与えている」といった不正行為が起きやすい設定を自動検出する。権限設定だけでなく、「正式受注していないのに出荷できる」といった内部統制上、問題があるプロセスをチェックできる。アプリケーション間のトランザクション・データをリアルタイムで分析し、権限違反や不正行為があった場合、管理者に通知する機能も備える。
 図5 「IT全般統制」を支援するソフトと「COBIT for SOX」の対応例 [画像のクリックで拡大表示] |
CCは、不正が起こりやすい権限の設定や、業務プロセスのパターンをあらかじめ備えている。このパターンはSOX法など各種法規制を踏まえて作成している。このパターンと、SAPアプリケーション・モジュールのパラメータ設定などを、CCが突き合わせし、問題がある個所を洗い出す。
また、ERPパッケージ「glovia.com」を販売するグロービア インターナショナルは2005年9月、「Security Manager」と呼ぶ新機能の提供を始めた。これは、複数の業務処理モジュールに対し、横串を通す形で、利用権限を設定できる機能である。加えて、「どの画面を利用して、どんな値を入力したか、どう操作したか」といったユーザーの操作履歴を閲覧できる「Audit Manager」も提供している。以上の機能を利用すると、「内部統制の状態を監査する際に、複数モジュールにまたがる処理の履歴を確認できる」(田村元バイスプレジデント)。
パッケージ修正に注意
注意すべきは、パッケージ・ソフトに入っている内部統制関連の機能を利用することと、日本企業の実態に合わせてパッケージを修整することがトレードオフの関係にあることだ。「正式に受注する前に、製品の出庫処理をしてしまいたい」といった日本の商習慣と、内部統制の概念が相反する場合があるという意味である。
ERPパッケージ「Movex」を販売する、インテンシアジャパンの杉本浩二ソリューションコンサルタントは、「一度入力したデータを修正できない機能は日本企業には合わないと言われてきたが、内部統制には役立つ」と話す。データを誤入力した場合、データを修正するのではなく、正しいデータを入力し、修正前のデータも記録に残す。
(次回へ)
