SOX法対応では、システムの職務分掌作業が大変IT担当者のための内部統制ガイド(7)(1/3 ページ)

日本版SOX法に対応するための作業時間が1年間を切った。そんな中、内部統制を実現するため、多くのIT部門が文書化などを進めている。そして、先行して文書化作業を終えた企業は、IT統制を実現するための整備・運用面で、新しい課題に直面しているという。その問題とは何だろうか。

» 2007年06月04日 12時00分 公開

 日本版SOX法(金融商品取引法)が内部統制報告書の提出を義務付けている2009年3月期決算まで、あと2年ほどとなりました。

 3月末決算の企業は、内部統制報告書の評価対象期間が始まる2008年4月まで、残る作業時間が1年間を切りました。可能ならば、2008年3月末時点でシステム対応も含めたすべての整備作業が完了しているのが望ましいでしょう。しかし、実際には2008年度の組織変更やこれに伴うシステム変更も考慮すると、2008年夏ごろをデッドラインとするスケジュールを想定しているケースが多いようです。

 現時点における内部統制対応の作業状況ですが、IT部門においても文書化対応作業の真っ最中で、これに次いで対応が必要となるシステム改修や再構築に向けた準備を進めているところです。

 先行している企業では、すでに文書化作業をほぼ完了し、テスト・評価フェイズに入っているようですが、ここでIT統制を実現するための整備と運用について、厳しい課題に直面しているという話を聞きます。その課題とは、文書化によって決められた職務分掌(SoD)をIT統制で実現するための情報システム部門の作業に、予想以上に膨大な労力が必要になってしまっているからです。

IT情報システムにおける権限管理と職務分掌の重要性

 金融庁が2007年2月に公表した「実施基準」や、経産省が2007年3月に公表したIT統制を実現するための指南書「財務報告にかかわるIT統制ガイダンス」などを読むと、情報システムを活用することで内部統制対応の効率化を実現することができるとしています。

 その前提として、文書化作業などによってルール化された職務分掌を、IT情報システム全体へ適切に反映させる必要がありますが、そのためにはまず個々のシステムがアクセス管理とログ管理の機能を持っている必要があります。

 多くの業務プロセスは、複数システムにまたがることから、個々のシステムにおける権限と複数システムにおける権限が重なる場合にも、正しく割り当てられていなければなりません。複数システムにおける権限を、個々のシステムとの権限と重複なくかつ不整合なく最適な状態に管理する作業は複雑かつ根気の要る作業です。作業に不備や抜けがあれば、これはIT統制の欠陥として、重大なリスクとなるからです(図1)。

(図1)職務分掌(Segregation of Duties)とは

 「誰がどのシステムに対してデータ入力や申請を行い、その申請を承認できる人はどの権限を持つのか」というアクセスコントロールのこと。

 職務分掌規定とは、従業員が担当する業務の内容、範囲、責任と権限を明確化したもの。職務権限を異なる担当者に割り当てることで、過失や不正行為のリスクを未然に回避、低減させるための統制行為。

 日本公認会計士協会の「監査委員会研究報告書16号」で統制例として職務分掌について明示されている。

監査委員会研究報告第16号
ITコントロールの例
発注担当者、検収担当者、物品受払担当者、支払帳票の作成者、小切手・支払手形・振り込依頼書などの準備作成者、支払承認者および会計帳簿の記録者は、それぞれ独立して業務を行っていること。 ・業務プロセスにおける処理権限をすべて保持したユーザーが存在しないこと。
(例:購買伝票登録、入庫伝票登録、請求書照合、支払処理)
・登録権限を保持しているユーザーと承認権限を保持しているユーザーが独立していること。
・予防的および発見的に、権限設定の妥当性をチェックできること。

 例えば、日々の営業活動と情報システムについて考えてみましょう。よくある製品販売のケースを想定してみます。

 まず、営業担当者はお客さまとの交渉によって見積書を提出し、お客さまより正式な発注依頼を受けてから受注処理を行います。営業担当者は販売管理システムに受注入力を行い、上長は与信や受注条件に問題がなければ正式に受注登録を承認します。

 上長の受注承認を受けて、営業担当者は在庫・物流管理システムを使って物流部門に製品の出荷処理依頼を送り、物流部門は指図書に従って出荷処理を行います。物流部門では、出荷処理された時点で出庫内容が経理部門に伝えられ、この情報を会計システムで管理します。お客さまの納品検収を経たうえで請求書が起票されて債権として転記され、お客さまからの入金を確認して一連の販売プロセスが完了となります(図2)。

図2:販売管理プロセスにおけるIT業務処理統制の実現イメージ(クリックで拡大)

 財務にかかわる内部統制におけるIT統制を考えると、財務会計に直接かかわる処理が行われるのは、在庫・物流管理システムと会計システムですが、与信管理や販売条件、請求処理などは販売管理システムと連携するケースが多いため、現実的には3つのシステムにまたがるIT統制の確立が求められることとなります。

 当然のことながら個々のシステムは、IT全般統制に対応したアクセス管理やログ管理の機能が備わっている必要があります。従って、大半の情報システム部門では、こうした機能を備えるための改修や再構築の準備を進めていることと思います。そして、個々のシステムに職務権限(ロール)に沿った権限設定を行い、そのうえで、業務プロセスに沿った複数のシステムにまたがる職務分掌を確立しなければなりません。これがIT担当者にとって予想以上に困難な作業となります(図3)。

図3:職務分掌(SoD)の管理方法論(クリックで拡大)

 IT統制が実現されている状態とは、例えば営業担当者が受注入力を行って、上長がこれを承認した後に、再び営業担当者が受注内容の変更処理を行うことができないことを意味します。

 当たり前のことですが、営業担当者が承認済みの受注内容の金額などを勝手に変更することは許されません。IT業務処理統制を実現するためには、営業担当者が受注承認後に勝手に受注内容を変更できないような権限の制限や変更履歴をログとしてすべて記録しておくなどが必要となります。

 個々のシステムの権限管理と職務分掌は、文書化で決められたルールに基づいて設定作業を行うことになります。内部統制の対象となるシステムは、すべて個々のシステムで権限管理の設定が必要となります。そして、この作業は組織変更や異動、昇進、業務プロセスの変更などが発生する都度、適切であるかを確認することが求められます。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ