今年度は業務プロセスを文書化
 図3●日本版SOX法施行スケジュールと情報システム部員が実施すべき内容 2008年3月末までの約2年間で内部統制を整備するのが理想。すぐに着手しないと,間に合わない可能性がある[画像のクリックで拡大表示] |
日本版SOX法では,2008年4月以降の会計年度からの制度適用を明記している。毎年3月末に決算を迎える企業の場合,監査の準備に2009年3月末までの約3年しかない。米国のSOX法に対応した企業への取材を基に,2009年3月末までに情報システム部員が実施する内容とスケジュールを図3に表した。
まず,2006年度中は,IT全般統制を確立するために,システム開発・運用プロセスを定義し,文書化する。次は,そのプロセスを評価し,その中で財務報告に誤りが発生するまたは不正が入り込む余地があるといったリスクを発見する必要がある。リスクを発見する上では,業務フロー図を作成した方がリスクを見つけやすいと言える。米国のSOX法に対応したニッシンの高瀬 尚彦氏(システム企画部 部長)は,「業務フロー図から,承認プロセスに漏れや誤りがないかを重点的にチェックした」とリスク発見のコツを語る。分析したリスクは,RCM(リスク・コントロール・マトリックス)と呼ぶ文書にまとめて記述する。
情報システム部員はこの作業と並行して,業務部門の業務プロセス文書化とリスク発見を支援する必要がある。図2に表したように,経理や人事給与などの業務プロセスに,情報システムが入り込んでいるからだ。業務担当者はその業務のプロではあるが,必ずしも利用するシステムに精通しているわけではない。ここは,情報システム部員の支援が不可欠になる。
米国のSOX法対応企業へのコンサルティング経験のある中央青山プライスウォーターハウスクーパース・フィナンシャル・アンド・リスク・マネジメントの宮村和谷氏は,「文書化を実施すると,ほとんどのケースにおいて,情報システムが関係する業務プロセスが正しいかの確認が,各部署から情報システム部員に集中する。特に情報システムに責任を持つ課長やリーダーの負荷が高い」と指摘する。
来年度はリスクへの対処を考える
2007年度はRCMを基に,現在の内部統制を評価する。重大なリスクがある場合は,リスクへの対応策を考えて業務プロセスに盛り込む。盛り込んだ場合は,業務プロセスを記述した文書を更新しておく必要がある。
一方のIT業務処理統制では,業務部門が重大と判断したリスクへの対応策を情報システムに反映する必要がある。例えば,受発注システムに担当者が入力する商品個数や商品の金額が,現実とかけ離れた数字になっていないかという妥当性のチェック機能である。情報システム部員には業務部門の要請に従って,システムにチェック機能を追加するといった作業が発生する。いずれの統制でも運用テストを実施する。
2008年はプロセスの実運用で仕上げ
最後の1年は,情報システム部門を含む各業務部門が,改善した業務プロセスに従って,実際に運用する年になる。
ここでは,問題なく運用している「証拠」を残しておく必要がある。例えば,無断でデータを書き換えられるというリスクを回避するために役職ごとにアクセス権限を設定していたとしても,それが監査人に証明できなければ意味がないからだ。システム部門が用意すべき証拠の代表例はアクセス・ログのほか,各システムの仕様書,変更管理書,テスト結果などである。
米国のSOX法対応企業へのコンサルティングを手がけているトーマツの丸山満彦 公認会計士は,「最後の1年までに業務プロセスの再構築を終えておく必要がある」と指摘する。その理由は,監査間近になって重大な不備が見つかっても,修正する時間がほとんどないからだ。
以上が,日本版SOX法の内容と法対応で発生する情報システム部員の業務の概要となる。
(次回へ)
