IT業務処理統制の支援ソリューションに求められる機能は？：「内部統制」に振り回されない賢いログ活用とは（1/2 ページ）

日本版SOX法の実施基準では、IT業務処理統制について4つのポイントが挙げられている。それを踏まえ、支援ツールに求められる機能を探ってみよう。

[増田克善，ITmedia]

本記事の関連コンテンツは、オンライン・ムック「『内部統制』に振り回されない賢いログ活用とは」でご覧になれます。

　金融商品取引法（いわゆる日本版SOX法）の実施基準、正確には「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」が2月に正式に策定された。

　それに先だって2006年11月に公開された草案は、内部統制整備の全体を示す「基本的枠組み」と、経営者向けの「評価および報告」、監査人向けの「監査」の3部（91ページ）で構成されており、うち約7分の1がIT関係に割かれるなど、ITによる内部統制について具体例を挙げて解説している。

　IT業務処理統制についても4つのポイントが挙げられている。この記事ではそれを踏まえて、IT業務処理統制を支援するソリューション（ツール）に求められる機能について探ってみよう（関連記事）。

業務システムの正確な処理・記録を統制

　IT業務処理統制は、個々の業務システム（アプリケーションシステム）において、開始された取引が承認され、漏れなく正確に記録され、処理されることを確保する統制活動である。つまり、主として業務データの「正確性」「正当性」「網羅性」「維持継続性」を実現することによって、財務の健全性を保障する仕組みの1つと言える。

　この目的は、業務システムにおけるデータのインプットコントロール、プロセスコントロール、アウトプットコントロールが正しく行われることだ。

　そして、IT業務処理統制では、IT全般統制が有効であることを前提に、準拠性、機密性、維持継続性が実現できている必要がある。

　前述の通り、2006年11月21日に日本版SOX法が求める内部統制整備の指針（ガイドライン）である実施基準案が公開された。ここでは「財務報告に係る内部統制の評価及び報告」の中で、「ITに係る業務処理統制の評価」（つまりはIT業務処理統制）の具体例として

• 入力情報の完全性、正確性、正当性等が確保されているか
• 例外処理（エラー）の修正と再処理の機能が確保されているか
• マスターデータの正確性が確保されているか
• システムの利用に関する認証・操作範囲の限定など適切なアクセス管理がなされているか

の4点を留意点として挙げている。

　このように、ITによる業務処理統制が適切に業務プロセスに組み込まれ、運用されているかを評価することが求められるのである。

統制レベルの向上有効なERP

　IT業務処理統制は、財務活動を中心とした基幹業務システムに対する内部統制であり、販売、製造、購買、会計などの業務が対象となる。これらをサポートするツールとして、ERP、財務会計パッケージ、ワークフロー、文書管理などが基幹業務システムの構築に利用される。

　IT業務処理統制では、財務関連の情報の取り扱いに際して、データの整合性チェック、操作ミスの防止などで、不正な取引などを発見、防止する業務プロセスを作ることが重要となる。

　この点において特にERPパッケージは、販売／購買システムから会計システムへの連携という点で自動化が図られている。同時に、各種マスターによる入出力時のデータチェックや各種のセキュリティ機能も備えており、一般的には内部統制の強化には有効と考えられる。

　例えば、実施基準案でも挙げられている内部統制上重要なポイントに、権限設定や職務分掌（権限の分離）がある。これに関して、購買システム、販売システム、会計システムがばらばらな状態だと、プロセス間でユーザーごとに権限設定や権限分離が適切に実施されているかを、複数のシステムごとに確認・評価しなければならない。

　しかし、ERPでは権限が複数モジュールで共用されている。したがって、それが適切に行われているかの確認や組織移動における変更も容易になる。

　そのほかにも、統合マスターと標準プロセスの下で業務処理が自動化され、確定データは後から変更できない仕組みであるため、データの整合性が保たれている。また、パラメーター設定により、一元的に入力や権限をチェックできるので、ミスや不正が紛れ込みにくいといった有効性がある。