業務処理統制は、手作業による統制とIT業務処理統制の両方が機能して、はじめて意味を持つ。今回は、手作業による統制とIT業務処理統制の具体例を紹介する。

IBM ビジネスコンサルティング サービス

手作業による統制とIT業務処理統制の例

 ここでIT業務処理統制として、ITが備えるべき機能について紹介しましょう(図4)。

図4●手作業による統制とIT業務処理統制の具体的な例
図4●手作業による統制とIT業務処理統制の具体的な例
[画像のクリックで拡大表示]

 IT業務処理統制は業務処理統制の一部であり、通常は手作業による統制と相まって業務処理統制を構成する位置づけになります。以下で、「手作業による統制」と「IT業務システムに組み込まれた統制」(IT業務処理統制)の具体例を見ていきます。また、IT業務処理統制について、入力、処理、出力ごとに、ITコントロール目標と関連付けながら整理することによって、第4回に解説する、ERPの持つIT業務処理統制機能と関連付けていきます。

手作業による統制

 手作業による統制としては、次のような例があります(承認作業のようにワークフローなどのIT機能を活用した場合は、IT業務処理統制に含まれるものもあります)。

(A)照合作業
 伝票と証憑の照合作業や補助簿と総勘定元帳の照合といったリスト同士の照合が挙げられます。照合作業によって業務の正確性や網羅性を確保することができます。

(B)承認作業
 業務規定上の承認者によって承認を行うことにより、処理の正確性と規定にのっとった処理という観点で正当性を確保することができます。

(C)職務分離
 例えば、債務計上担当者と支払い担当者を分けるといったように、職務権限を複数の人に分担させることで相互牽制が効くようになり、意図的な詐偽行為(架空処理)の可能性が低くなります。そういった観点で実在性を確保することができます。

(D)例外事項のチェック
 出荷例外リストを確認することで、出荷が可能な期間を確認できるようになります。これによって、売り上げの帰属する期間の適正性を確保することができます。

(E)現物の確認
 実地棚卸しによる在庫の確認や、預金と売掛金の残高確認といったことが挙げられます。これらによって実在性や権利と義務の帰属を確保することができます。

IT業務処理統制

 IT業務処理統制とは、個々の業務処理システムにおいて、主としてデータの(1)正確性、(2)正当性、(3)網羅性、(4)維持継続性を実現することを通して、財務アサーションを確保するための統制のことです。業務システムにおけるデータの入力、処理、出力が正しく行われることを確保することを目的としています。

(A)入力コントロール
(1)正確性
・レコード・カウントチェック、ハッシュ・トータルチェック、連番チェック、レコード重複チェックなどの誤入力を防ぐための機能。
・プルーフリストなどによる入力データの確認。
・例外と異常データの検知とリスト出力による確認。
・エラー状況のモニター/記録/修正結果に関するログ管理機能。

(2)正当性
・ワークフローといった適切な承認ルートを通ったデータのみシステムに取り込まれる仕組み。
・ユーザーの権限ごとに取引できる許容額について、取引許容範囲が設定されている仕組み。

(3)網羅性
・入力すべき情報がすべて漏れなく、また重複なく入力・処理され、意図する目的の通りに出力情報が利用できること。
・入力原票の連番管理。
・入力件数の合計照合など。

(4)維持継続性
・データベースの統合による入力データの後続プロセスとの連動。

(B)処理コントロール
(1)正確性、(3)網羅性
・全データ処理の正確性、完全性が確認・検証できる機能。
・システム間でデータ授受が正確性を検証できる機能。
・整合性維持、問題原因究明のための監査証跡保持機能。

(4)維持継続性
・処理の異常や例外状況を漏れなく検知できる機能。
・複数のデータベースに対して更新処理をかける際の整合性の自動検証機能。
・複数マスター更新の際のマスター間整合性の自動検証機能。

(C)出力コントロール
(1)正確性、(3)網羅性
・出力処理結果の完全性、正確性の検証機能。
・出力帳票と集計ファイルの合計値、残高合計の確認。
・エラー状況のモニター/記録/修正結果に関するログ管理機能。

(2)正当性
・権限者のみが出力ファイルやレポートを照会できることを保証する機能。
・出力ファイルやレポートが適切に配布される機能。

(4)維持継続性
・処理の異常や例外状況を漏れなく検知できる機能。
・出力帳票と集計ファイルとの合計値、残高合計などの確認。

 IT業務処理統制について、これまで述べてきた内容は例示にすぎませんので、これらの機能がすべてないといけないわけではありません。ITで統制できなければ手作業で統制すればよいわけです。たまに、「IT業務処理統制対応ということで、プログラムをすべて見直す必要があるのでしょうか」といった質問を受けますが、現状でも、ITと手作業によるチェックを組み合わせて、業務全体として統制されている状態ならば、プログラムをすべて見直す必要はありません。業務処理統制の再確認の中で、労力的・時間的にみて、手作業では非効率であり対応できない場合には、ITによる統制に切り替えたほうがよいケースがあることはいうまでもありません。

次回へ

IBM ビジネスコンサルティング サービス
フィナンシャル マネジメント/アプリケーション イノベーション
【著者紹介】
中澤 進(なかざわ すすむ) 取締役 パートナー
海上 和幸(かいじょう かずゆき) アソシエイト・パートナー/公認会計士
後藤 智彰(ごとう ともあき) マネージング・コンサルタント
松尾 美枝(まつお みえ) マネージング・コンサルタント
原 隆也(はら たかや) マネージング・コンサルタント
黒川 敏幸(くろかわ としゆき) アソシエート・パートナー
大田 敬三(おおた けいぞう) マネージング・コンサルタント
渡部 直人(わたべ なおと) マネージング・コンサルタント
菊永 孝彦(きくなが たかひこ) ビジネス・アソシエイツ
深澤 義行(ふかさわ よしゆき) マネージング・コンサルタント