子会社から親会社へ財務データを報告する作業は、内部統制の中でも最も注意を払うべき業務の1つといえる。子会社の会計システムからデータを抽出し、表計算ソフトで親会社のフォーマットに変換して、親会社の会計システムへファイル渡しやメール送信を行うような場合、次のような慎重な統制が必要となる。
この場合、手作業の正確さだけでなく、表計算ソフトのマクロ言語も統制対象に含まれる点がポイントだ。
こうしたエンドユーザーのPCに含まれる業務プロセスは、ITの運用を担う部署からはまったくコントロールができない。これは経営上のリスクを判断する立場には、最も見えにくいということを意味する。
従って、こうした業務はBPM上で定義するのが良いだろう。この手法を利用することで、上記に挙げたリスク対策はシステムによって統制され、同時に関連するテスト工数も削減することができるからだ。
財務諸表に影響がある勘定科目のうち、売掛金、売上高、棚卸資産にかかわる業務は、正確に遂行していく必要があるのはすでにご承知のとおりだ。ここでは、見積もりから発注にわたる、BtoBの典型的な販売活動を例に、起こり得る統制活動について列挙してみる。
ここに挙げた問題には、業務手順が後付で成立させることができるというのが根底にある。そこでBPMを用いることによって、業務手順がシステム的に徹底され、事後処理を予防することが可能になるため、各取引が正しく遂行できるようになる。同時に、各業務には適切な実行権限を設定できるため、アイデンティティ管理製品との組み合わせで職務分掌も確保できる。
また、分岐や繰り返し、待ち合わせのロジックは動的に変更が可能であり、さらに、外部のルールベースエンジンなどとの組み合わせにより、さまざまなビジネスニーズに応えられるのもBPMが持つ柔軟性ならではである。こうした変更作業が簡単にできるアーキテクチャは、特に“Action”を早めるPDCAサイクルを実現するうえで重要である。
内部統制を維持・継続運用するためには、業務フローを正しく定義することだけでなく、それを意図したとおりに機能させたり、評価や修正に掛かる工数をできるだけ省力化する工夫が必要である。
内部統制への意識向上により、部門を超えたデータの流れに着目する機会が増え、情報の取り扱いには監査人と合意したレベルでの統制が求められるようになる。システム間で属人的なリスクを排除するためには、限りなく人の介入を避けるべきであり、そのためのパッケージ製品の導入やBPMによる連携は効果が高い。
とりわけ、EAIをベースに発展してきたBPM製品は、従来からあるパッケージ製品を難なく連携させ、オープンな規格に準じたデータの交換が可能となっているため、既存の業務を継承しながら部門やシステムを超えた業務プロセスの統合を実現することができる。
BPMで定義された業務プロセスにはシステム的な統制が自動的に働くため、業務遂行上の品質を一定に保つだけでなく、内部統制に求められる内部テスト工数も低く抑える効果がある。この結果、将来にわたって破たんすることのない、持続可能な内部統制基盤が実現できるのだ。
次回は、内部統制に不可欠なITプロセスの最適化と標準化を実現する「ITIL」を紹介する。
国谷 俊夫(くにや としお)
テクニカルセンター ビジネス・アプリケーション技術部所属
2001年サン・マイクロシステムズ入社。プロフェッショナルサービスを経て、2004年より現職。専門はSAP、IBMソフトウェアなど。世界各拠点の製品開発担当から国内営業に至る広い領域で仮想チームを形成し、顧客におけるビジネスアプリケーション活用のためのプロデューサー的責任を負う。ビジネスガバナンスプロジェクトでは、これまでの経験を集約し、サンのテクノロジによって解決できる内部統制のプロモーション活動に従事している。
Copyright © ITmedia, Inc. All Rights Reserved.