IT内部統制の強化に向けた情報システム整備とECM
正しいデータこそが究極の目標
内部統制の強化においては、法遵守/資産の保全/リスクの制御など多面的な対応が必要といわれているが、日本版SOX法への対応に焦点を絞って考えると、その究極的な目的は正しいデータを開示することに尽きる。
どんなに堅牢なITインフラを運用し、管理運営を適正に行っていたとしても、財務諸表や有価証券報告書に正しくない情報が記載されていたら経営者の 責任が問われることはいうまでもない。また日本版SOX法への対応に限らず全社的な内部統制という幅広い視野で考えた場合も制度/体制/プロセスなどを適 正に整備した結果として、正しいデータや情報の処理を確保されるという関係にある。
したがって、データおよび情報という視点に立って内部統制を考えると、情報システムにおいて求められる対応が浮かび上がってくる。特に、業務処理統 制という観点においては、データおよび情報の「正確性」「網羅性」「正当性」「整合性」の4つが確保されていることが求められると考えられる(表1)。
| 正確性 | 情報(データ)が、適時に正しく入力され、定められた手順に則って処理および記録がなされる。 |
| (例)入力されるはずのないデータが誤って入力されていないか。 | |
| 網羅性 | 情報(データ)が、漏れなく、また重複なく入力・処理され、意図したとおりに出力される。 |
| (例)連続しているはずの伝票の連番に抜けがないか。 | |
| 正当性 | 真実を反映した情報(データ)のみが、承認され権限を有する担当者により閲覧および処理される。 |
| (例)権限を持っていない者が、データを改竄することはないか。 | |
| 整合性 | 関連する処理の間で整合性が保たれ、情報(データ)が矛盾なく入力・処理・出力される。 |
| (例)同期すべきデータの一方のみが更新されるようなことはないか。 |
出典:ITR
求められるコンテンツ管理インフラの整備
これまでデータおよび情報という表現をとってきたが、企業における業務処理では数値を中心とした定量的データと、文字など中心とした定性的情報の大きく2つが介在しており、一般に前者をデータ、後者を情報と呼ぶことが多い。
財務報告や各種業務処理においても、そこで処理されアウトプットとして開示されるものは、売上高/一般管理費/経常利益率といったデータと、有価証券報告書/貸借対照表/契約書/資産台帳といったドキュメント類から構成される。
こうしたデータおよび情報を総称してコンテンツと呼ぶこととしよう。コンテンツは会計システムや分析系システムで取り扱われるデータやそのアウト プットとしてのレポート(帳票)/表計算ソフトのワークシート/電子メールの文書/契約書や発注書などの書類など、様々なレポジトリ(格納庫)に収められ たあらゆるデータや情報、ファイル類を含んだものである。これらは企業のさまざまな業務活動の過程で、作成(入力)、更新、閲覧され、最後に廃棄(消去) されるというライフサイクルを持っている。
内部統制という観点からは、こうしたコンテンツがライフサイクル全般を通して統合的に管理されることが求められる。具体的には、そのコンテンツを誰 がいつ作成し、承認し、閲覧し、更新し、廃棄したのかを監視できること、またその履歴や証憑が追跡できることを担保できるモニタリングや記録保持のしくみ が求められる。
また、そのコンテンツを誰が作成、承認、閲覧、更新、廃棄できるのかを制御するアクセスや権限の管理のしくみも必要となる。さらに承認や二重チェッ クなどの処理の適正性が確保されているか、証拠や根拠の提示が求められた時にすぐに提示できるかといった点が問われる(図2)。
図2:求められるデータ/情報の統合的ライフサイクル管理
出典:ITR
このためコンテンツをライフサイクルを通じて管理するためにタイムスタンプ/バージョン管理/履歴保持/アクセス制御/承認ワークフロー/分類/検索といったことができるコンテンツ管理インフラを整備することが求められることとなろう。
なお、企業の業務処理に介在するコンテンツは膨大であり、とても手作業で管理できる量ではないため、ITが活用されることが必須であろう。具体的に は、エンタープライズ・コンテンツ管理(ECM)が、企業に散在するコンテンツを一元的に管理する有力なソリューションとなると考えられる。
