日本版SOX法対応への準備アプローチ
IT部門に求められる初期の取り組み
IT部門に求められる取り組みとしては、全社的なイニシアチブからの要請に対応するために、IT部門が業務オーナーとなる業務に関するリスクの評価 と財務報告の信頼性に影響をおよぼすシステムの特定が最優先の作業となる。リスクの評価については、全社的なイニシアチブからリスクの定義、抽出の条件、 RCMの記載内容および書式が指示されるのが一般的であるため、それに従って実施することとなる。
財務報告の信頼性に影響をおよぼすシステムの特定についても、監査人などのアドバイスに基づいて範囲および抽出の条件が指示されるであろうが、抽出 するシステムの粒度(サブシステム単位かなど)やシステムの種類(ツール類やデータベース管理システムは対象となるかなど)については詳細な定義が示され ない場合が多いため、確認を取りながら進める必要がある。
一方、全社的なイニシアチブからの指示を待つことなく、IT部門が独立して進められる初期の作業としては、自社のIT運営管理の現状把握と問題点・ 改善策の検討がある。事前にこれを行っておくことで、IT部門が業務オーナーとなる業務に関するリスクの評価に対するインプットとなるだけでなく、財務関 連のシステムの文書(仕様書、運用手順書など)の再整備およびIT運営(調達・開発・運用など)の手順の明確化および文書化といった作業で必要となる工数 を推定でき、後の作業をスムーズに進めることができる。
計画化が求められる施策
財務関連のプロセスの変更に伴うシステムの手直しや、内部統制が効率的に運営されるためのシステム化といった情報システムの開発や修正が必要となる 作業については、要員や予算の確保が必要となる場合が多いため、優先順位に基づいて計画を立てて実行していくことになる。
また文書(仕様書、運用手順書など)の再整備、IT運営(調達・開発・運用など)の手順の明確化および文書化、IT運営の適正な実行を確保する監 視・監査の実施についても、日本版SOX法に向けた内部統制監査で指摘される領域と、IT内部統制に間接的に寄与する領域を分けて優先順位を検討しなけれ ばならない。
これらのなかでも、財務関連のシステムの文書(仕様書、運用手順書など)の再整備と財務関連のプロセスの変更に伴うシステムの手直しは優先度が高いと考えられる。
情報システムの開発や修正が必要となる作業の中には、個別のアプリケーションごとに機能(入力チェック、記録保持、アクセス制御など)を追加・修正 するよりも、内部統制基盤としてのITインフラ再整備の一環として、ミドルウェア層で対応する方が長期的に考えると有効な場合が多いと考えられる。
しかしITインフラの再整備を待たず緊急に対応しなければならない事項も少なからずあるため、機能の重複や二度手間を最小限に抑えられるよう全体的な将来像を見据えて計画化することが求められる。
内部統制を強化するために業務プロセスを変更することで、承認、記録保持、二重チェックなどの作業が増加し、業務の生産性が低下する可能性がある。 このため、内部統制が効率的に運営されるためのシステム化(ワークフロー、システム間連携など)が必要となることが想定されるが、一般的にはこのようなシ ステム化は後回しになりがちなため、あらかじめ計画に組み込んでおくことが推奨される。
IT部門に求められる対応は多岐にわたり、作業負荷も想像を超えるものとなる可能性があるため、定常業務を兼務する数名のスタッフで切り抜けるのは 困難であることを覚悟しておかなければならない。また2009年3月の内部統制報告および監査が終了したらそれで終わりというわけではなく、その後も指摘 改善事項への対応、さらなるレベルアップの取り組み、および内部統制の効率的運営のための環境整備など、様々な作業が継続して発生する可能性があることを 想定しておかなければならない。
次回は、IT内部統制に強化に向けて必要となる情報システム整備および対応ソリューションついて述べる。
