IT業務処理統制の準備と対策のポイント：IT担当者のための内部統制ガイド（5）（2/3 ページ）

[鍋野 敬一郎，＠IT]

IT業務処理統制対応のポイント

　IT業務処理統制対応のアプローチは、大きくボトムアップとトップダウンの2つの違ったやり方があります。

　ボトムアップのアプローチとは、現場から現行の業務プロセスの洗い出しを行うところから進めるやり方です。このアプローチは、手間と時間が掛かります。業務プロセスの文書化と標準化ができてからIT業務処理統制の整備作業、つまりシステム改修作業に入ることになります。

　システム改修のポイントは、職務分掌を適正に行うための権限管理と統制環境を実現するための記録（ログ管理）にあるといえます。また、ExcelなどのEUC（エンドユーザーコンピューティング）による業務処理が避けられない場合には、この処理自体を基幹システムに取り込むか、または前後のデータと比較し承認するプロセスを追加することになります。

　ERPが導入されている場合には、特に権限管理の徹底によるID追加は避けられないと思われますので、そのライセンスコストや設定変更コストを考慮する必要があります。さらにアクセスユーザーが増加することから、システムリソースの不足などに備えなければなりません。

　トップダウンのアプローチとは、現場に対して強制的に標準化したやり方やシステムの使用を強いることです。このアプローチは、予測できないリスクや管理できない余地を最低限に抑えるための手段として有効ですが、実情との乖離、現場の反発や業務効率の悪化などを招くデメリットもあり、リスクを十分に考慮する必要があります。こうしたアプローチとよく似ているのが、シェアードサービスをグループ企業で共通化するシステムを開発するプロジェクトです。

　この手法で内部統制のシステムを構築するポイントは、あらかじめ標準化した業務処理システム（ERPベースなどが多い）で構築したひな型を準備することです。このひな型には、文書化のサンプルやオペレーションマニュアル、そして各種帳票のモデルをあらかじめ用意しておきます。

　ここにすべての現場関係者を集めて、これをサンドバッグとしてひな型をベースに共通利用システムを実際に使えるレベルに仕上げて行きます。ポイントは、最低3カ月以上は同じ場所で担当者同志が作業を行うことです。これによってお互いの意識の違いを認識し、お互いに妥協可能なところを探ることが可能となります。こうしたステップを経ずに一方的な共通システムの強制使用を強いると、現場のモチベーションが低下して目に見えないところで不正処理を行うリスクが高くなります。

　IT業務処理統制の実現の前提条件は、業務プロセスが文書化整備されていることになりますが、いきなり文書化を全社に指示しても混乱を来すだけです。監査法人や専門のコンサルティング会社、ERPベンダなどがそれぞれの知見で文書化のサンプルを提供していますので、まずはこれを入手してからムダな作業を減らすことを考えることをお勧めします。

　サンプルとして有効なのは全社業務プロセスの一部だけが文書化されているものではなく、全般的にすべての業務が網羅されているものが良いといわれています。また、業種業態によって業務プロセスに偏りがありますので必ず事前にどのような業態の企業がモデルとなっているのか、その業務プロセスは自社に適用可能なのかを判断しなければなりません。