すでによくご存じのことと思いますが、IT業務処理統制とは個々の業務処理アプリケーションにおいて、主としてデータの「正確性」「正当性」「網羅性」「維持継続性」を実現することによって財務のアサーションを確保するための統制のことです。
これは業務システムにおけるデータの入力、処理、出力が正しく行われることがその目的となります。IT業務処理統制は、IT全般統制が有効であることを前提としていて「準拠性」「可用性」「機密性」「維持継続性」が実現できている必要があります。
業務処理統制とは、これに加えて手作業による次のような作業と組み合わされて実現されます。
情報システム関係者が苦労するのは、こうした手作業による業務処理統制とシステムで対応する業務処理統制の切り分けと関連性です。時々ERPベンダの営業がERPパッケージを導入すると業務処理統制すべてを網羅できるような話をしていますが、これは明らかに勘違いといえるでしょう。
財務アサーション(監査要点)は、こうした内部統制の仕組みに対して財務情報の信頼性をその取引ごとに「実在性」「網羅性」「評価の妥当性」「権利と義務の帰属」「期間配分の適正性」「表示の妥当性」から評価するものです。IT業務処理統制への対応要件を判断する手段として、監査の視点からシステムの不足を洗い出すことを考えてみてください。
どのタイミングで内部統制整備のシステム対策つまりIT投資を決断しなければならないのでしょうか。関係者は一様に“早ければ早いほど良い”と口をそろえていっています。当然のことですが優秀なシステムコンサルタントやSE、プログラマの確保は必須です。必要性は十分理解しているのですが、本当に必要となるアプリケーションや作業工数についての試算が難しいという現実の課題があります。見切りで予算を確保して作業を開始して、途中で足りませんでしたという対応は誰しも避けたいものです。
IT全般統制はインフラに近いところにあるため、まだIT投資費用の算定は可能だと思いますが、IT業務処理統制は業務プロセスの文書化が前提となるため現時点での算定はかなり難しいといえます。
IT投資のタイミングは、上記より内部統制対応方針を踏まえていくつかのステップで臨む必要があるといえるでしょう。システム改修や機能追加といった作業に対応するためには時間が必要ですからデッドラインを考えて対処しなければなりません。また、万が一の場合を想定して一時的にシステム以外の手作業で対処可能かどうかの見極めが優先順位判断の指標となります。
多少の手間は掛かりますが、業務処理統制の整備作業を進める際にどの業務プロセスが一時的な手作業で対応可能であるかを確認しておいてはいかがでしょうか。極論ですが、システム改修が間に合わなかったために内部統制整備が不備となる事態だけは避けるべきです。一時的なものであれば手作業で対処して、追ってシステムに移行するという柔軟な考え方もあると思います。
日本人の性格上どうしても完ぺきな対応を目指したいという話は多いのですが、今回の内部統制対応に限ってはこうした対応が裏目に出る可能性が高いといえます。特に業務処理統制におけるIT対応は、その要となるところではありますが完ぺき性を目指すあまり、漏れや時間切れだけは避けたいところです。
これから具体的な作業に入る企業が大半だと思いますが、内部統制への対応はQC活動のように長期的な継続活動として意識して、完ぺきを目指すよりも浅く広く網羅する継続的な活動として取り組みを開始することをお勧めいたします。
鍋野 敬一郎(なべの けいいちろう)
1989年に同志社大学工学部化学工学科(生化学研究室)卒業後、米国大手総合化学会社デュポン社の日本法人へ入社。農業用製品事業部に所属し事業部のマーケティング・広報を担当。
1998年にERPベンダ最大手SAP社の日本法人SAPジャパンに転職し、マーケティング担当、広報担当、プリセールスコンサルタントを経験。アライアンス本部にて担当マネージャーとしてmySAP All-in-Oneソリューション(ERP導入テンプレート)を立ち上げた。
2003年にSAPジャパンを退社し、現在はコンサルタントとしてERPの 導入支援・提案活動に従事する。またERPやBPM、CPMなどのマーケティングやセミナー活動を行い、最近ではテクノブレーン株式会社が主催するキャリアラボラトリーでIT関連のセミナー講師も務める。
Copyright © ITmedia, Inc. All Rights Reserved.