TOPThinkIT News> ITは内部統制に向けて何を備えるか
ThinkIT News
HITACHI Open Middleware World 2006 Autumn
HITACHI Open Middleware World 2006 Autumn

ITは内部統制に向けて何を備えるか
2006/11/22
内部統制を支えるITおよびIT部門のありかた

   2008年4月より、いよいよ日本版SOXが適用されることになる。そこで「内部統制を支えるITおよびIT部門のありかた」というテーマの基、内部統制によってITがこれまでの業務にどのような影響を与えるのかについて伊藤泰樹氏が講演を行った。

   内部統制について伊藤氏は、「これまで日常的な業務プロセスで行われてきた業務やデータが、正しい手順や規則にしたがって行われていることを組織的にチェックすることで、経営者や従業員の不正やミスによるリスクをなくすための活動である」と述べた。

日立コンサルティング 伊藤 泰樹 氏
日立コンサルティング 伊藤 泰樹氏

   それを踏まえ、内部統制の整備は「全般統制の整備」と「業務プロセス統制の整備」に大別されるという。全般統制の整備としては、経営者をはじめとした従業員全体に対して信用にたる組織、制度、人員が整っているか、またITシステム全般も同様に整備された環境で運用されているかが問われる。業務プロセスの統制としては、日常業務が正しい手順に従っているかどうか、利用されているITシステムはデータの正当性を証明できるようになっているかなどになるという。

   上記が正しく統制されていることを証明するためには、業務の可視化が必要となり、業務の行動記録が帳簿や証憑、稟議記録などはもちろん、アプリケーションのログやデータフローなどから正当性を説明できることが必要になる。

   そこで伊藤氏は「内部統制では、日常業務活動とITが密接に関連して、正しく業務が統制的に行われていることを証明していくことになる」と述べた。

   続いて、コントロール活動を次の図を用いて分類した。望ましいものは、システムチックで予防的なプロセス(図右上)であるが、必ずしもすべての業務システムがその分類には含まれないため、内部統制に対応し信頼性の向上のためには、ミスや不正を発見するシステムも必要であると述べた。

コントロール活動の分類
コントロール活動の分類

   なお、業務プロセスの実施にあたって、内部統制の統制ポイントとなる点は、業務データの扱われるプロセスの中で「明文化された正しい手順で作成されているか」「権限に従った入力が行われているか」「データの正当性が承認されているか」「適切なデータ移動がされているか」「データが保管されているか」などの局面にある。

   伊藤氏は、内部統制における活動の運用効率をあげるためには、「システムによる業務の自動化範囲の拡大およびシステムの統合により、チェックポイントを減らすこと、正確に証跡を取得し保管を維持するための仕組みをつくること、またシステムインターフェースの統合などによりデータ移転時のリスクを軽減することが必要である」と語る。

   このような効率的なシステムを作っていくことが、結果的に会社の業務プロセスの可視化につながり、SOX法への対応も容易となる。さらにリスクの入り込む部分を削減するという業務改善にもつながっていくという。

自動化による統制ポイントの削減と記録の保管
自動化による統制ポイントの削減と記録の保管

   最後に日立コンサルティングのこれまでの取り組みや、内部統制の確立のためのコンサルティングを通じたソリューション提供サービスを紹介し、講演を締めくくった。

(ThinkIT編集局 神保 暢雄)