プロジェクト全体を通じて全般統制を意識する

2006.12.06

土居貢
KPMGビジネスアシュアランス
マネージングディレクター

ITリスクを中心に、リスクマネジメント態勢の高度化支援や監査業務に従事

　前回は、システム開発の要件定義フェーズで業務処理統制（アプリケーション・コントロール）の仕組みをどのように実現するかを説明した。今回は、ITにかかわるもう一つの内部統制である全般統制（ゼネラル・コントロール）を意識したプロジェクトの進め方について解説したい。

　日本版SOX法で求められる財務報告の信頼性を直接的に担保するのは、業務プロセスに組み込まれた業務処理統制である。ただし、それだけでは十分でない。システム開発や運用のように、利用部門の業務を間接的に補完する作業にかかわる全般統制も確立しておかなければならない。

　業務処理統制は、主にプロジェクトの要件定義工程に関係していた。これに対し、全般統制はプロジェクト全体を通じて意識する必要がある。内部統制を確保するためにプロジェクト運営のルールを明確化し、そのルールを全体で順守する仕組みを作る。さらに、確保した内部統制が有効であると評価することが求められる。

　PMはシステム開発や運用にかかわる全般統制を重要なものと位置づけ、その確保と有効性の評価を心がけなければならない。以下、順を追って留意すべき点を見ていこう。

運営ルールの“漏れ”に注意

　システム開発プロジェクトにおける運営ルールとは、進捗管理や工数管理、障害管理などの手順や、各工程で作成すべきドキュメントの定義などを指す。全般統制の仕組みを作るにはまず、プロジェクト運営に関するルールが組織全体で制定・承認されているかどうかを確認する必要がある。読者の皆さんの会社ではいかがだろうか。

　こうした運営ルールをすでに備えている場合、PMは基本的にそのルールを順守してプロジェクトを運営すればよい。ただしその場合でも、既存のルールが日本版SOX法の要求事項を満足しているかどうかをチェックしておく必要がある。運営ルールを決めていない場合は、プロジェクト計画書を作成する段階でルールを明確化しなければならない。しかるべき権限者に計画書を承認してもらうのも必須である。

　恐らく、プロジェクト運営に関するルールをまったく決めていないという企業は少ないはずだ。程度の差こそあれ、何らかの形でルールをドキュメント化しているのではないだろうか。その場合に注意すべきなのは、ルールの漏れである。特に、工程終了の基準や、誰がその内容および終了を承認するかに関するルールを決めていない、といった例をよく見かける。

　工程終了基準としては、「プロジェクトの目的や目標値が実現可能になっているか」、「今後の工程で解決すべき残課題が明確になっており、その解決の見込みは立っているか」などがある。以前に本連載で触れているので（2006年3月6日号）、詳細はそちらを参照してほしい。誰が承認するかに関しては、プロジェクト・オーナー、システム・オーナー、PMなどの役割分担をはっきりさせた上で、意思決定権限と同時に責任を明確にしておくことが重要だ。

　全般統制の品質すなわちプロジェクト運営の品質は、業務処理統制の品質すなわち成果物の品質を間接的に支える。プロジェクト工程の切れ目が不明瞭だと、成果物の品質低下を招く恐れがあるので気を付けてほしい（図1）。