内部統制・業務プロセス可視化には方法論が必要だ
2006/7/6
内部統制の分類:業務処理統制と全般統制
- - PR -
内部統制の分類方法にはいくつかありますが、ITに関する統制としては全般統制と業務処理(アプリケーション)統制という分類が一般的に利用されます。日本公認会計士協会の監査基準委員会報告書第29号「企業及び企業環境の理解ならびに重要な虚偽表示のリスクの評価」によると、全般統制は「多くのアプリケーションに関係する方針と手続であり、情報システムの継続的かつ適切な運用を確保することにより、業務処理統制が効果的に機能するように維持する」統制であり、業務処理統制は、「個々のアプリケーション・システムにおいて、開始された取引が承認され、漏れなく正確に記録・処理されることを担保する統制活動である」とされています。
ここで注意する点は、前ページの図1が示すように、内部統制全体の有効性は、業務処理統制が有効であるだけでは十分ではなく、その下のレイヤである全般統制の有効性にも依拠しているという点です。仮に各業務アプリケーションにおいて、誤りが起こらないように適切な入力チェックやワークフローを実装しデータの正確性や妥当性などを確保したとしても、全般統制の有効性の程度が低くその業務アプリケーション自体に不正な修正やデータベースへの不正アクセスが可能であるような状態であれば、結果的に内部統制が有効でないということになります。
また、全般統制は開発手順であったりインフラであったりと多くのアプリケーションに共通であるために、その有効性の程度は広い範囲に影響を与えることになります。逆にいうと、全般統制の有効性を高めることによって内部統制全体の有効性を高めると同時に、より効率的に内部統制を整備・運用することが可能だといえます。
業務プロセス可視化の必要性
内部統制の監査は、それが内部監査人であれ外部監査人であれ対外的に内部統制が有効であることを示すことです。そのためには業務プロセスを可視化し、リスクとコントロールを明らかにして内部統制を文書化することが必要となります。内部統制の文書化作業の成果物としては、いわゆる文書化3点セットとして業務フローチャート、業務記述書(narratives)、リスク・コントロールマトリクス(RCM)が取り上げられます。その対象となる業務プロセス範囲については、重要な勘定科目などの決定、事業拠点の決定、勘定科目および事業拠点と業務プロセスのマッピングを行うことで決定されていきますが、IT部門ではそれを受けて業務プロセスと関連する業務アプリケーションとのマッピング、その依拠するITインフラを、先ほどの図表の構造に沿った形で切り分けていく作業が必要となります。
内部統制という視点では一連の業務プロセスの中での統制というとらえ方をしますので、その実装が人間系でもIT系でもある意味無差別に考えます。しかし、その実装を考えるならば承認1つにしても上長のはんこをもらう場合とワークフロー・システムを通してもらう場合ではまったく異なります。見掛け上は紙にはんこを押すか、PC上でボタンを押すかの違いでしかないかもしれませんが、ご存じのようにその背後には利用者からは隠ぺいされている膨大なITプロセスが存在しています。アプリケーションだけ取ってもクライアントサイドとサーバサイドがあり、さらに当然ながらネットワークを介しますし、OSやDBMS、ハードウェア機器も関連することになります。
さらに、利用者が複数の業務アプリケーションを使用する場合、アプリケーションごとにホスト、2層、3層、Webシステムとシステム構成が異なるかもしれません。そして、そのそれぞれに何らかの統制が実装されているはずです。以上のような現在の業務プロセスにおけるITプロセスが占める重要性とその複雑性を考慮すると、人間系プロセスとIT系プロセスを統一的かつシームレスに記述することが望ましいと考えられます。また、SOX法への対応は導入初年度だけではなく、作成した膨大な文書のメンテナンス作業が以降も継続的に発生することを考慮すると、導入以降も見据えた可視化・文書化の方法論が必要となります。
弊社はこの両者の課題に対する方法論としてEAのフレームを利用したUMLによるビジネスモデリング手法が有効であると考えています。後編では、その手順の概要を解説していきます。
株式会社オージス総研 アドバンストモデリングソリューション部所属
SIerにおける基幹システムの開発業務を経て、監査法人および関連コンサルティング会社において監査業務及び株式公開コンサルティングやシステム開発を行う。
現在は、EA/UMLビジネスモデリングによる業務の可視化の支援に従事
日本版SOX法や会社法など、企業に内部統制システムの構築を義務付ける法令の可決・施行が相次いでいる。
内部統制の分類方法にはいくつかあるが、全般統制と業務処理統制に分けるのが一般的だ。注意すべきは、内部統制全体の有効性は業務処理統制だけではなく、その下のレイヤである全般統制の有効性にも依拠しているという点だ。
内部統制監査では業務プロセスの可視化、文書化が行われる。内部統制という視点では一連の業務プロセスにおいて人間系かIT系かという部分は意味無差別に考える。しかし、その実装を考えるならばまったく異なるものだ。
見掛け上は紙にはんこを押すか、PC画面でボタンをクリックするかの違いだが、その背後には膨大なITプロセスが存在しており、これが全般統制の有効性に直接かかわってくる。
こうした点を考慮すると、人間系プロセスとIT系プロセスを統一的かつシームレスに記述することが望ましい。そのための方法論としてEAのフレームを利用したUMLによるビジネスモデリング手法が有効だと考えている。
Page1 内部統制におけるITの位置付け |
|
Page2 内部統制の分類:業務処理統制と全般統制 業務プロセス可視化の必要性 |