IT業務処理統制の準備と対策のポイント：IT担当者のための内部統制ガイド（5）（3/3 ページ）

[鍋野 敬一郎，＠IT]

IT業務処理統制の詳細を理解しよう

　すでによくご存じのことと思いますが、IT業務処理統制とは個々の業務処理アプリケーションにおいて、主としてデータの「正確性」「正当性」「網羅性」「維持継続性」を実現することによって財務のアサーションを確保するための統制のことです。

　これは業務システムにおけるデータの入力、処理、出力が正しく行われることがその目的となります。IT業務処理統制は、IT全般統制が有効であることを前提としていて「準拠性」「可用性」「機密性」「維持継続性」が実現できている必要があります。

図1：IT情報システムによる業務処理統制
（アプリケーションコントロール）

図2：業務処理プロセスごとに情報を集中管理する仕組みが必要

　業務処理統制とは、これに加えて手作業による次のような作業と組み合わされて実現されます。

• 「照合作業」（業務の正確性や網羅性を確保すること。伝票と証憑の照合など）
• 「承認作業」（業務規定による処理の正確性と正当性を確保すること）
• 「職務分離」（相互牽制により意図的な詐欺行為の可能性を減らし、実在性を確保すること。システム開発者と運用担当者を分けることなど）
• 「現物確認作業」（実在性の確保をすること。実地棚卸しによる在庫確認など）
• 「例外処理のチェック作業」（例外処理をチェックすることにより適正性を確保すること）

　情報システム関係者が苦労するのは、こうした手作業による業務処理統制とシステムで対応する業務処理統制の切り分けと関連性です。時々ERPベンダの営業がERPパッケージを導入すると業務処理統制すべてを網羅できるような話をしていますが、これは明らかに勘違いといえるでしょう。

図3：業務処理統制に対応したマニュアル処理と
システム処理の情報集中管理

　財務アサーション（監査要点）は、こうした内部統制の仕組みに対して財務情報の信頼性をその取引ごとに「実在性」「網羅性」「評価の妥当性」「権利と義務の帰属」「期間配分の適正性」「表示の妥当性」から評価するものです。IT業務処理統制への対応要件を判断する手段として、監査の視点からシステムの不足を洗い出すことを考えてみてください。

図4：財務アサーション（監査要点）とITのコントロール目標の関係

システム対策のタイミング

　どのタイミングで内部統制整備のシステム対策つまりIT投資を決断しなければならないのでしょうか。関係者は一様に“早ければ早いほど良い”と口をそろえていっています。当然のことですが優秀なシステムコンサルタントやSE、プログラマの確保は必須です。必要性は十分理解しているのですが、本当に必要となるアプリケーションや作業工数についての試算が難しいという現実の課題があります。見切りで予算を確保して作業を開始して、途中で足りませんでしたという対応は誰しも避けたいものです。

　IT全般統制はインフラに近いところにあるため、まだIT投資費用の算定は可能だと思いますが、IT業務処理統制は業務プロセスの文書化が前提となるため現時点での算定はかなり難しいといえます。

　IT投資のタイミングは、上記より内部統制対応方針を踏まえていくつかのステップで臨む必要があるといえるでしょう。システム改修や機能追加といった作業に対応するためには時間が必要ですからデッドラインを考えて対処しなければなりません。また、万が一の場合を想定して一時的にシステム以外の手作業で対処可能かどうかの見極めが優先順位判断の指標となります。

　多少の手間は掛かりますが、業務処理統制の整備作業を進める際にどの業務プロセスが一時的な手作業で対応可能であるかを確認しておいてはいかがでしょうか。極論ですが、システム改修が間に合わなかったために内部統制整備が不備となる事態だけは避けるべきです。一時的なものであれば手作業で対処して、追ってシステムに移行するという柔軟な考え方もあると思います。

図5：システム対策の着手タイミング

　日本人の性格上どうしても完ぺきな対応を目指したいという話は多いのですが、今回の内部統制対応に限ってはこうした対応が裏目に出る可能性が高いといえます。特に業務処理統制におけるIT対応は、その要となるところではありますが完ぺき性を目指すあまり、漏れや時間切れだけは避けたいところです。

　これから具体的な作業に入る企業が大半だと思いますが、内部統制への対応はQC活動のように長期的な継続活動として意識して、完ぺきを目指すよりも浅く広く網羅する継続的な活動として取り組みを開始することをお勧めいたします。

著者紹介

鍋野 敬一郎（なべの けいいちろう）

1989年に同志社大学工学部化学工学科（生化学研究室）卒業後、米国大手総合化学会社デュポン社の日本法人へ入社。農業用製品事業部に所属し事業部のマーケティング・広報を担当。

1998年にERPベンダ最大手SAP社の日本法人SAPジャパンに転職し、マーケティング担当、広報担当、プリセールスコンサルタントを経験。アライアンス本部にて担当マネージャーとしてmySAP All-in-Oneソリューション（ERP導入テンプレート）を立ち上げた。

2003年にSAPジャパンを退社し、現在はコンサルタントとしてERPの 導入支援・提案活動に従事する。またERPやBPM、CPMなどのマーケティングやセミナー活動を行い、最近ではテクノブレーン株式会社が主催するキャリアラボラトリーでIT関連のセミナー講師も務める。

「IT担当者のための業務知識講座」バックナンバー

• “上から目線”の排除が、電子政府推進のカギ
• “愛とIT”が、医療介護の品質を決める
• 顧客の囲い込みに、ITが不可欠となる教育業
• 深い業務知識が、信頼できる金融システム構築の鍵
• 建設もITシステムも、成果は上流工程で決まる
• 電子書籍時代、印刷業は提案力とデータ管理が命
• 物流業の命は、「輸送」よりも「情報活用」にあり
• 製造業は“ITシステムの使いこなし”がキモ
• 卸売業の命はデータとニーズの“マッチング”にあり
• 小売の業務とIT利用　―POSとEOSによる店舗運営―
• ITマネジメントの本質を知る　―プロローグ―