IT業務処理統制の基礎知識：総務部門のためのIT解説 「内部統制」編

[小林秀雄，＠IT]

（上場を目指しているベンチャー企業の社長と若手総務担当社員の会話）

「ITシステムの構築や運用に関するルール作りは進んでいる？」

「IT全般統制への対応ですね。IT企業の手を借りながら、同期のIT担当と一緒に検討しています」

「じゃ、そろそろIT業務処理統制に着手できるか」

「ハイ。IT業務処理統制って何をするのか、義兄の経営コンサルタントに話を聞く手はずです」

「ウン、それで進めよう」

IT業務処理統制とは？

　これまで、5回にわたって連載してきた総務部門のためのIT解説「内部統制」編は、今回で完了する。最後に取り上げるテーマは「IT業務処理統制」である。

　内部統制を形だけでなく、真に有効なものとするためには、「不正をしない」という経営者の姿勢が出発点となる。そのことを第1回「『わが社も内部統制に対応するぞ』と言われたら」で強調した。その「姿勢」を実効あるものとするのが不正やミスが生じない業務プロセスを設計することだ。そして、その業務プロセスを実行しているITに統制を掛けることによって、内部統制が確立できる。

　ITに関する内部統制は2つある。「IT全般統制」と「IT業務処理統制」である。前回は、IT全般統制について取り上げた。IT全般統制とは、ITシステムを構築したり運用・変更するときのルールを定めること、データ（特に財務報告に関する会計データ）のバックアップを取ること、アクセス管理をきちんとすることなど、ITシステムの基盤に関して破綻が生じないようにすることである。IT全般統制は、法律でいうと憲法のようなものだ。

　今回取り上げるIT業務処理統制は、イメージ的にはIT基盤の上で行われる会計業務や販売業務など個々の業務処理に関して安全や信頼性を確保するために行うことを指している。対象は「業務処理」なので、IT全般統制より内容は具体的なものとなる。

IT業務処理統制で行う4項目

　では、実際にIT業務処理統制とは何をするのだろうか？ 企業会計審議会が2007年2月に発表した内部統制の「実施基準」では、IT業務処理統制として次の4項目を挙げている。

1. 入力情報の完全性、正確性、正当性等を確保する統制
2. 例外処理（エラー）の修正と再処理
3. マスタデータの維持管理
4. システムの利用に関する認証、操作範囲の限定などアクセスの管理

　この4項目は、データの正確性を担保するために行うことといえる。例えばの話、売り上げデータが正確に入力されていることは仕事の基本だ。入力データが正しければ、その後に処理される売り上げの集計やさらに財務報告書に至る数字も正しいものとなる。しかし、人間がする以上、入力ミスもあり得る。もしも、入力ミスをしたら修正する必要が生じる。データの修正ができるようになっているか。それが（2）の内容だ。通常のソフトウェアは修正できるようになっているのでそこに注意を払う必要はそれほどない。

　マスタデータとは、顧客とその取引を包含したデータである。もし、実際には取引のない顧客をマスタに登録できるようでは具合が悪い。架空取引が生じる可能性があるからだ。誰でもマスタデータに触れることができてはいけない。そんなことが起きないよう、マスタデータのアクセスは厳重にしなければならない。そこに関係するのが（4）のアクセス管理だ。

　データの入力・修正、そしてマスタデータの維持管理にとって重要なことはアクセス管理である。例えば、「会計主任はデータの入力も修正もできるが、主任以下の社員は入力しかできないようにする」ということを指す。権限に応じてデータへのアクセスを制限するということである。そのための前提となるのは、連載の第3回「どうやって業務の見直しを進めたらいいんだろう？」で取り上げた業務ルールの見直し・確立をしておくことが基本となる。

　業務処理に関する記録を取っておくことも大切である。ここでいう記録とは、誰がどのデータにいつアクセスしたのか、また、誰がどんなデータを印刷したのかという操作データをコンピュータ上に保管しておくことを指す。過去にさかのぼって問題が発見できるようにすること（証跡という）が記録を取る目的だ。

　IT用語では記録を取っておくことをログ管理というが、従来のソフトウェア製品はアクセス管理機能がなかったり、ログが取れないものが多い。その場合は、ハードウェア自体を鍵の掛かる部屋に置き（もちろん、社内LANからアクセスできないようにしたうえで）、入退室管理という物理的な代替案でアクセス管理を実行するという手もある。

既存システムで対応できるか？

　IT全般統制がITシステム全般に関して構築・運用ルールを作るという側面が強いのに対して、IT業務処理統制は、会計管理システムや販売管理システムといったITアプリケーションを利用するうえで不正が生じない仕組みを作ることを求めている。そこで必要となるのはアクセス管理やログ管理の機能だ。つまり、IT業務処理統制を実行する際にはソフトウェア製品の機能がアクセス管理やログ管理などの機能を備えていると、企業は内部統制に対応しやすいといえる。しかし、前述したように、これまで販売されてきた財務会計管理や販売管理などのパッケージソフトウェアはアクセス管理やログ管理の機能を備えていないものが多い。

　そこで現状、考えられる対応策は次の3つだ。

1. 入退室管理などの物理的アクセス管理をする
2. アクセス管理やログ管理ソフトウェアを導入する
3. アクセス管理やログ管理など内部統制に対応した新しいソフトウェアパッケージを導入して、システムを入れ替える

　どの方法を選択するかは、企業の置かれた環境やITシステムの状況によって考えるべきだろう。また、内部統制対応だけを考えるのか、それとももっと大きな視野で業務改革をも考えるのかでも対応策が異なってくる。前者であれば、（1）か（2）を選択することになるだろう。後者であれば、内部統制の機能を持ちつつ自社の業務改革も実行できるソフトウェアパッケージを選択することになる。

　2000年問題を超えたあたりでITシステムを刷新した企業も多い。そうしたシステムはそろそろ陳腐化の状況を迎えている。大塚商会で内部統制に関するコンサルティングを行っている向川博英・技術本部コンサル推進グループ部長は、「経営者は業務改革をしたいという意向を持っている。業務改革をしていくと、業務の流れが変わるのでIT全般統制やIT業務処理統制に対応したパッケージを採用していく流れになるだろう」と見ている。

　上場企業なら、内部統制は避けて通れない経営課題だ。しかし、内部統制に対応すべく、業務を見直すのなら、いっそ業務改革を視野に入れた取り組みをした方が会社にとって大きな成果が得られるともいえる。

　そう考えると、初めから、業務改革をターゲットとしてシステムの入れ替えを検討すべきだろう。しかし、導入コストの兼ね合いという問題は大きい。多くの企業はそこまで踏み切れないだろう。現状のITシステムに不備があるなら、物理的な方法やID管理ソリューションを採用してその欠陥をなくしつつ、数年後にシステムの入れ替えを計画するという両にらみでいくことが多くの企業にとって現実的な解ではないだろうか。

「IT業務処理統制の鍵は、データの安全性を確保することなんだね」

「データのバックアップ、アクセス管理、ログ管理……やるべきことはたくさんありますね」

「まずは、当社のIT業務処理統制に不備があるかどうかチェックすべきだな。それに基づいて、優先順位を付けて対応を進めることにしよう」

「ハイ。早速取りかかります」

---

　これまで、総務部門のビジネスパーソンを対象に5回にわたって「内部統制」への対応をテーマに連載してきた。ここで筆をおくことになるが、最後に一言強調しておきたいことがある。それは、内部統制の実行は一度行ったらそれで済むという話ではない、ということである。企業活動は変化する。それに伴って、業務プロセスも変化していく。だから、常に、「その業務プロセスに欠陥がないか」「不正が生じる隙はないか」という視点が社内に存在している必要がある。また、「不正をしない」企業の風土も手を抜けば緩んでしまう。総務部門は各事業部門およびIT部門と手を携えつつ、経営者的な視座に立って、内部統制にかかわる「全体」を見るまなざしを持つことが求められているのではないだろうか。

著者紹介

小林 秀雄（こばやし ひでお）

東京生まれ。早稲田大学第一文学部卒業。雑誌「月刊コンピュートピア」編集長を経て、現在フリー。企業と情報技術のかかわりを主要テーマに取材・執筆。著書に、「今日からできるナレッジマネジメント」「図解よくわかるエクストラネット」（ともに日刊工業新聞社）、「日本版ｅマーケットプレイス活用法」「IT経営の時代とSEイノベーション」（コンピュータ・エージ社）、「図解でわかるEIP入門」（共著、日本能率協会マネジメントセンター）、「早わかり 50のキーワードで学ぶ情報システム『提案営業』の実際」（日経BP社刊）など