内部統制対策にITはどんな役割を果たせるのか?:IT担当者のための内部統制ガイド(2)(2/2 ページ)
“紙文化”を見直す手法とITの適用ポイント
内部統制対応で失敗しやすいところは、前回ご紹介したとおり“文書化”の作業によるものが多いといわれています。
日本企業は、米国企業に比べて業務の標準化(マニュアル化)が低いといわれていますが、これは従業員の業務レベルが高く業務に対する判断力が高いことと裁量を任されている範囲が広いことによるといわれています。残念ながら今回これは、内部統制対応に対してはマイナス要素であり、属人的な業務を「見える化」して共有する必要があります。
さらに内部統制を効率的に行う手段として、日本版SOX法ではその要素に「ITへの対応」を挙げていますが、日本企業の業務処理のベースは指示書や稟議といった“紙”であり、管理しにくくワークフローが見えにくいといった理由から、リスクを管理する手段としては好ましくありません。
このような理由から、紙を電子化し、一連のプロセスの管理効率を向上しなければなりません。経理や財務といった管理部門は、人事異動も少ないため規定やマニュアルなどによる情報共有ができていないケースが多く、また連結決算書の作成などは複雑な処理や調整も多く業務プロセスの標準化や、ITによる効率化の効果が期待できます(図5)。
図5:業務プロセスの見える化(可視化)の目的内部統制対応における文書化作業とは、こうした業務規定書(マニュアル)作成、業務フロー作成(プロセス・フロー・チャート)、そのリスクを管理するリスク・コントロール・マトリックスの作成とこれをベースとしたテスト・評価(レビュー)を実施、記録し適切に改善を行うことです。
つまり、現時点でマニュアルや業務フローがない場合には、作成しなければなりません。さらにこれを継続して更新し続けるためには、文書データの再利用を想定した電子化が必須です(筆者は、業務処理全体における電子化された処理の比率を電子化比率と呼んで、入力システムや出力帳票、レポートの有無やカバレッジがリスクを分かりやすく説明できると考えています)。
内部統制に対する“ユーザーの視点”と“ITの視点”
さて、内部統制対応におけるIT活用について考えたいと思います。
現在ちまたにあふれる内部統制セミナーやITサービスの大半は、内部統制強化を実現するIT統制と呼ばれる考え方を中心にしています。IT統制には、インフラやセキュリティ、運用などシステム環境を統制するIT全般統制(ゼネラル・コントロール)と、業務プロセスの統制を行う業務処理統制(アプリケーション・コントロール)がありますが、これは対応しなければならない決まりの話です。
内部統制を成功させるには、こうした仕組みを作ることももちろん重要ですが、それ以上に正しく運用する知識や理解を全社員で共有することが欠かせません。エンドユーザー教育やITガバナンスの強化などユーザーレベルの向上にもITを検討すべきではないかと思います。
IT部門に所属する方々ならばすでによくご理解されていると思いますが、IT利用のコツはユーザー個々のニーズに沿った利用目的やメリットをくんだものが有効です。内部統制対応プロジェクトはその性質上、経理や監査部門が中心ですから「ITへの対応」といった要素も、表面的なITツールの機能面に終始する可能性が高いと思われますので、IT部門より運用コストや継続サポートなどの観点でアドバイスを行う必要があると思います。
IT部門の積極的参画が、内部統制対応成功の条件
最近よく聞く話なのですが、経理や監査出身のプロジェクト責任者よりも、IT部門担当者の方が内部統制に関する情報や知識を豊富に持っているようです。
米国SOX法対応に携わった大手企業の担当者よりも、IT部門の担当者の方が事例や具体的な情報を多く持っている理由は、最近のITベンダや業界の動向にあります。多数の無料セミナーや雑誌・オンラインメディアで、内部統制を幅広く取り上げていることが原因です。もちろん経理や監査においても、それぞれの業界のメディアで内部統制について取り上げているのですが、IT業界ほど多種多様なメディアが存在するわけでもありませんし、無償で情報提供するということも少ないようです。
実際にある企業のIT部門長と話したときのことですが、当初その企業の内部統制対応プロジェクトの責任者は経理部門出身者が、サブリーダーは経営企画部門と監査部門が任命されていたとのことです。まずは監査法人などと打ち合わせを行い、内部に向けてさまざまな勉強会や文書化作業について活動を開始したらしいのですが、どう見てもIT部門で持っている情報の方が具体的で豊富だったそうです。
そこで、IT部門長がリーダーと親しかったこともあり、IT部門で持っている情報を提供したところ、プロジェクトチームが持っていた情報の少なさと偏りにびっくりしたそうです。彼らの情報源は監査法人と限られた有料セミナーからのもののみだったのです。結局、IT部門はサブリーダーとしてプロジェクトチームの中核として参画することとなり、システム構築で培ったエンドユーザーとの交渉力や業務プロセスの文書化などで多大な貢献を果たしたというのです。これから始まる日本版SOX法への対応においても、こうした貢献は同様に可能だと思います。
内部統制対応の成功の鍵はITが握るとよくいわれていますが、プロジェクトの性格上、IT部門はサポート的な立場に置かれることが多いのが実状です。米国では、業務フローの作成の大半を外部コンサルタントに高いお金を支払ってExcelで作成してもらった結果、運用フェイズに入っても自ら業務フローをメンテナンスすることもできず、Excelデータの再利用(変更・更新管理)もできず莫大なコストが発生しているケースがあるようです。ちょっと考えて、IT部門がこうしたポイントに気付いて対処していればコストも効率も劇的に変わっていたのではないでしょうか。
日本版SOX法では、明確に「ITへの対応」を重要項目に挙げていることからもIT部門の果たす役割によって結果が大きく変わってくると思います(図6)。
図6:内部統制対応の処方箋:IT部門の対処ポイントIT活用の方法によっては、数億円掛かるといわれる内部統制対策コストを抑制し、確実な成果を期待することができるのではないかと思います。そのためには、プロジェクトに対するIT部門の姿勢を“待ち”から“攻め”の姿勢に変えるべきではないかと思います。
著者紹介
鍋野 敬一郎(なべの けいいちろう)
1989年に同志社大学工学部化学工学科(生化学研究室)卒業後、米国大手総合化学会社デュポン社の日本法人へ入社。農業用製品事業部に所属し事業部のマーケティング・広報を担当。
1998年にERPベンダ最大手SAP社の日本法人SAPジャパンに転職し、マーケティング担当、広報担当、プリセールスコンサルタントを経験。アライアンス本部にて担当マネージャーとしてmySAP All-in-Oneソリューション(ERP導入テンプレート)を立ち上げた。
2003年にSAPジャパンを退社し、現在はコンサルタントとしてERPの 導入支援・提案活動に従事する。またERPやBPM、CPMなどのマーケティングやセミナー活動を行い、最近ではテクノブレーン株式会社が主催するキャリアラボラトリーでIT関連のセミナー講師も務める。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
ITmediaはアイティメディア株式会社の登録商標です。