内部統制に有効な「操作ログ」とは
内部統制は企業に課された責任
内部統制報告に関する法律は近年、企業の社会的責任や法令順守を求める声が大きくなったことに応じて成立したものと言えます。
法律で義務付けられている「内部統制報告書」の提出にあたっては、報告書が適正か否かという「監査証明」を監査人から受ける必要があります。ここで言う「適正」とは、経営者が判断した評価と、監査人の評価が一致するかどうかということです。このため、経営者も監査人も内部統制が「有効ではない」と判断すれば適正意見になります。
いずれにしても、内部統制報告書に関して、経営者側が監査人と同じ判断を下し、自社の内部統制の有効性を把握するためには、自社業務に対する自己評価手段が確立されている必要があります。
しかし、先ほども述べた通り、経営者側としては、内部統制の構築は当然の責任であり、法令以前に会社を健全経営するために必要な事項とも言えます。
監査人は企業の内部統制が有効であるかどうかを判断する際に、業務が法律や社内ルールを順守して行われているかどうかを基準にします。一方で、企業の本来の目的である「営利目的」の観点からも、経営者は自社の業務実態を把握すべきです。またそれは、内部統制における整備/運用/評価/報告を行う上でも重要な基盤になります。
操作ログは「人が行った操作」という「事実」
内部統制の構築方法については、各企業/業界によってポリシーも多様ですので割愛しますが、内部統制を構築した後は、統制が機能しているかどうかを確認する「モニタリング」を行う必要性があります。J-SOXではここまでが法制化されており、モニタリング作業ができて初めて外部にも説明ができる状態になると言えるでしょう。逆にモニタリングが不足している状態では、かえって会社に対する不信を招きかねません。つまり、「モニタリング」の事実として、客観的な証拠が必要なのです。
モニタリング作業とは、従業員の業務や実態を確認することです。現実的には「部署長へのヒアリング」や「作成された書類に目を通したりする」などです。
さらにこれらの作業を大きく助けるものとして、「PC上の操作ログ」があります。PCの利用が当たり前となった現代において、事務処理がPCを経由せずに行われることはまずありませんので、「PC=事務処理」と考えられます。これらのデータが改ざんされていないことを前提に、操作ログは客観的事実/証拠になります。
PC上での操作ログを利用せずにヒアリング結果や書類だけでモニタリングした場合、膨大な時間を要するだけでなく、人間の主観のみで判断されるため、本当にその業務が実行されているのか、客観的な根拠による証明が難しくなります。
また、PC操作ログを部分的に取得するだけでは、効果的なモニタリングは不可能です。時間軸の違いや操作の違いによって取得できない項目や値が存在すると、一連の業務を把握することができなくなり、業務の証跡にはなりません。
次ページでは、内部統制ツールとしての操作ログの効果的な活用方法をご紹介します。