財務諸表の信頼性を確保するには、リスクの洗い出しやコントロールの定義、定期的なテスト・検証などが求められる。ITは業務処理統制の一手段として、財務諸表の信頼性を確保する有力な手段となる。
IBM ビジネスコンサルティング サービス
業務処理統制の中でのITの位置づけ
業務処理統制は大きく、(1)手作業による統制と(2)IT業務システムに組み込まれた統制の二つに分けられます(図2)。
 |
図2●業務処理統制の中でのIT位置づけ [画像のクリックで拡大表示] |
業務処理統制という観点では、業務プロセスにかかわる個々のリスクの洗い出しと、リスクに対する適切なコントロールについて検討を進めていくという手順になります。すべてが手作業によるコントロール、例えばリスト同士の照合や押印による承認であったとしてもリスクが十分にコントロールされているのであれば、何ら問題はありません。
しかし、現在の多くの企業では業務の効率化の推進、システム化の進展といった状況があり、システムで対応可能なコントロールについては極力、システムを利用するといった方向にあります。このように、IT機能を活用した業務処理統制のことを、「IT業務処理統制」と呼びます。ここで注意したいのは、業務処理統制の検討の流れです。まず、業務処理統制全体を検討し、その結果として手作業による統制とIT業務処理統制に分ける、という流れになります。
つまり、IT業務処理統制だけを取り出した議論というのは業務処理統制全体をとらえるうえでは不十分です。このことからも、ERP(統合業務処理)システムさえ導入すれば、IT業務処理統制が強化され、その結果として内部統制への十分な対応が可能になるといった単純な議論ではないことを押さえていただきたいと思います。また、後段でも述べますが、ERPを最大限活用するためには業務処理統制および全般統制(例えば、アクセス・コントロールなど)を十分に検討したうえで、ERPの機能を検討することがポイントとなります。
IT業務処理統制の位置づけをご理解いただいたところで、今回の日本版SOX法では新たに何が要求されてくるのかを説明します。各企業において、これまでもITの活用が声高に叫ばれ、ITによる業務処理統制レベルの向上にも取り組んできているはずです。では今回、新たに何が要求されているのでしょうか。
日本版SOX法で要求されるのは、「内部統制の整備・運用の方針と手続きの状況」「財務報告にかかわる内部統制の有効性の評価手続きと、その評価結果、並びに発見した不備とその是正措置を記録し、保存すること」です。これには、IT業務処理統制の部分も含まれます。
これまでITに関しては、特に問題が発生していないといわれる方もおられるかもしれませんが、たまたま悪意を持った者が存在せず、うまくいっていただけかもしれません。米国のケースでは、職務分離に関して、業務ルール通りかどうかをチェックしたところ、数百ものリスクが発見された例もあります。
また、自社開発の例で多いのですが、業務ごとにシステムが別々に構築されているがゆえに、マスターデータもシステムごとに保守する設計となっており、結果としてマスター間の整合性の確保が手作業に頼っているといったケースもあります。ユーザーID管理の点でも、同様にマスターがシステムごとに別々となっており、職務分離のチェックすらも困難な状況になっているケースもあります。これは非常に極端な例ですが、どんなデータ修正にでも対応できるように、あまりデータチェックの厳しいシステムを構築したくないといった例も過去には少なくありませんでした。
もし、IT業務処理統制での対応が十分でないと、業務統制上、レポートの照合やチェックといった手作業でのコントロール事項が発生するだけでなく、内部統制の有効性を検証するための定期的なテストと評価に新たに人手と時間がかかることになります。それを避けるために、SOX法適用二年目となった米国では、(1)極力ITで統制がかけられるものはITに任せる、(2)内部統制の有効性の検証についても極力ITの機能を活用し、自動的に確認がとれるような仕組みに変える――といった動きがあるようです。
IT業務処理統制とITコントロール目標
IT業務処理統制は、業務処理統制の一部であり、財務アサーションがコントロール目標になります。一方、ITコントロール目標は、ITの統制レベルを評価する項目になります。ここでは、業務処理統制と関連の深い(1)正確性、(2)正当性、(3)網羅性、(4)維持継続性の四つについて詳しく解説しましょう(図3)。
 |
図3●IT業務処理統制とITコントロール目標 [画像のクリックで拡大表示] |
(1)正確性
正確性は、入力すべき情報がすべて正しく適時に入力され、その組織体において定められた手順に準拠して記録および処理が行われることです。主として、システムへのデータ入力時のコントロールになります。正確性はすべての情報処理の基本となる項目です。正確な情報入力が確保されない環境では、それ以降の処理や出力にも大きく影響することになり、結果として財務情報の信頼性を脅かすことになります。
(2)正当性
正当性は、権限者によって承認された真実の経済事象を反映した情報のみが情報システムに入力されることを保証することです。これも主としてデータ入力時のコントロールとなります。例えば、適切なユーザーによる承認や職務分離といったことが該当します。正当性が確保されずに情報が入力されると、会社にとって認められた取引以外の情報が入力されることになるので、架空取引が発生するリスクが高まることになります。
(3)網羅性
網羅性は、システムに適正に情報が入力された後、入力された情報がすべて漏れなくかつ重複なく、処理され、意図する目的通りに出力情報が作成されることを意味します。網羅性が守られてないと、システムに情報が入力されても途中で処理が止まってしまってしまい、最終的に財務情報につながらないといったことが発生します。帳簿に載らない取引、すなわち簿外取引が発生するリスクが高まることになります。
(4)維持継続性
維持継続性とは、マスターファイルが常に正しい情報に継続して更新されている状態を指します。さらに、関連するマスターファイル間の整合性や、情報の入力・処理・出力の過程における情報の整合性が保たれていることも意味します。システム全体にかかわる項目です。図3の販売システムと在庫・購買システムのそれぞれに対する入力、処理、出力の過程での整合性の確保だけでなく、例えば、販売システムと経理システム間の処理の整合性の確保も、維持継続性の範ちゅうに入ってきます。つまり、情報の発生から財務諸表の出力までの整合性の確保を意味しています。
さらに、マスターファイルの整合性を保証することも意味します。各システムのマスターファイル間で整合性が保証されることは、複数のシステムで整合性を確保するための前提条件です。財務諸表への出力に関係する情報を処理しているシステム全体を対象としていることはいうまでもありません。
現状で問題なくシステムを運用している例は多いでしょうが、日本版SOX法では、財務アサーションについて、適切なコントロールの下で業務が運用されていることを改めて文書で証明することが必要です。各プロセスのリスクの洗い出しと対応するコントロールを検証もしくは見直す必要が出てくることが想定されます。そのなかで、特にITによって統制されている部分については、ITそのものの統制レベルを評価するレビュー項目として、ITコントロール目標が位置づけられます。
(次回へ)
|
