IT部門も大混乱? 日本版SOX法に今から備えよう――監査法人トーマツ丸山氏Interview(3/7 ページ)

» 2005年12月12日 08時11分 公開
[聞き手:堀哲也,ITmedia]

 会計とITのかかわり方は、業務プロセスにかかわる部分とIT全般に関する2種類があります。それをそれぞれ「業務処理統制」「全般統制」と呼んでおり、双方の統制が必要です。

業務処理統制

 業務処理統制というのは、例えば、売り上げに関する発注を受け付ける販売システムなどに関係してきます。一般的に企業の販売業務は、「受注」「商品の引当」「納期の通知」「商品の発送」「請求書の入手」「入金確認」「領収書発行」「入金消込」――といった一連の業務から成り立っています。そこで、現実の世界でも行わなければならない「どの部署の誰が受注入力できるのか」「売掛金の消し込みを行える人は誰か」といった職務分掌を反映させる必要があります。

 それ以外にも、販売の単価マスターの変更の権限や、それを承認する仕組みというが必要です。「1億円以上の売り上げは部門長の承認の後起票する」というルールを定めていれば、担当者が2億円と売り上げ入力をするとエラーが出るといったエディットチェックも必要になるでしょう。

 このような業務処理統制は、販売業務だけでなく購買や人事など、それぞれの業務プロセスに組み込まなくてはなりません。会計士はこのようなところをチェックすることになります。

全般統制

 業務処理統制が確実に機能することを保証するのが、全般統制となります。例えば、先ほどのエディットチェック機能を、誰もが変更して無効化できてしまえば、機能自体が無意味になります。そこで、監査人はアクセス権の申請、承認、付与の流れがしっかり行われているかを確認するわけです。

図1 ITシステムの内部統制の考え方

 このアクセス権管理の仕組みがシステムをまたがって社内の統一的なルールで行われていれば、販売システムだけでなく、購買システムや人事システムまでまとめて監査できます。ルールが統一されていると、IT部門の手続きを見れば、さかのぼって財務諸表に関係する全システムで全般統制がなされているということがいえるのです。もしシステムごとに異なるルールで運用されていれば、それぞれ監査しなければなりません。横断的なルールを備えることは重要です。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ