アドバイザリー

内部統制の効率化 三つの事例~ITの積極的活用~

2013.09.10
小林 直子
小林 直子
新日本有限責任監査法人
ITリスクアドバイザリー部 マネージャー
コンサルティング会社にてERPパッケージ導入に従事。監査法人に入所後、大手製造業からネット企業まで幅広い業種の情報システムに係る内部統制及びセキュリティの評価業務、アドバイザリー業務に携わる。最近では、GRCツール導入にかかわるアドバイザリー業務にも従事している。


ITは今やどの企業にとっても欠かすことのできないツールであることは、皆さんが納得されていることと思います。多くの企業では、ITは重要であり管理されなければならないものとして、IT全般統制の手続きが整備・運用されています。しかし、業務プロセスを管理するためのツールとしてITを積極的に活用しているケースはまだ少ないように感じます。
今回は、ITの機能を積極的に活用することで、効果的で効率的な内部統制を実現した例を三つ紹介します。

【事例① A社 販売プロセス 取引先ごとに受注データの上限金額の設定】
~システム入替えを機に発見的統制から防止的統制に変更 ~

A社の販売プロセスは、与信管理のために取引先ごとに取引限度額が定められ、限度額を超える受注データを販売管理システムに登録することは禁止していました。限度額を超えて受注伝票が登録されてしまうことを避けるめの統制活動(発見的統制)として、限度額を超えた受注データの有無を確認するという手続きを四半期に一度実施していました。しかし、この統制活動は、非常に時間がかかり、事象発見の適時性において課題がありました。
そこで、A社では、システム入替えを機にITの機能を業務プロセスの管理に活用できるか検討し、その結果、取引先ごとに受注データの上限金額を設定する機能を統制活動に利用することにしました。システムの機能を使用することにより、取引限度額を超える受注データの登録を防止すること(防止的統制)が可能となりました。

【事例② B社 プログラム登録プロセス 本番機へのアクセス権の制限】
~アクセス権の管理を徹底するために追加でシステムを導入~

B社のシステム運用上のルールは、プログラム開発担当者とプログラムを本番機へ適用する運用担当者の役割を分担していました。しかし既存のシステムではアクセス権を詳細に分けて管理することができず、運用担当者だけでなく、開発担当者も本番機上でのプログラム変更作業が可能なアクセス権を保持していました。そのため、適切なプログラム検証を経ずに、開発担当者が本番機のプログラムを変更してしまうリスクが存在していました。
上記リスクに対応するための統制活動として、開発担当者のIDについて操作ログを取得し、作業の内容が妥当であるかをモニタリングしていました。そのため、膨大なログを分析するという面で非常に時間がかかり、効率性の面で課題がありました。
IT部門および内部監査部門は上記の課題に対応するため、必要なIDに必要なアクセス権を設定できるシステムを追加導入しました。新システムの導入により、開発担当者が本番機のプログラムを変更できなくなったため、今まで実施していたモニタリングの統制を実施する必要がなくなりました。

【事例③ C社 在庫管理プロセス レポート作成機能の利用】
~パッケージソフトウェアの標準的な機能の活用~

C社の在庫管理プロセスは、在庫紛失および盗難のリスクに対応するため、統制活動として在庫確認作業を実施していました。その基礎資料として、パッケージソフトウェアである在庫管理システムと、同システムで対応しきれない返品を記録する返品記録システムの両方からデータをエクセルに抽出し加工の上、在庫一覧表を作成していました。
この統制活動のための基礎資料作成には、レポート作成の負荷やデータ改ざんのリスクまたエクセルのバージョン管理と保管の面で課題がありました。 在庫確認担当者は、バージョンアップされた在庫管理システムの標準的な機能として、返品記録システムからデータを取り込んだ上でレポートが作成できるようになったことを知りIT部門と検証したところ、在庫管理システムより出力されるレポートは在庫確認の基礎資料としての要件を十分に満たしていること、および上記の課題を解決できることを確認できました。そこで、エクセルでの管理レポート作成をやめ、在庫管理システムで生成されるレポートを統制活動に使用することとしました。

上記の事例は、どれも非常に分かりやすいものです。この他にも工夫をすることでITを効果的・効率的に活用できる場面は多くあると思います。ITを情報の処理・記録・保管のためだけのツールとして捉えるのではなく、業務プロセスを管理するためのツールという観点で内部統制を見直すことで、ITをさらに活用する方法を見出すことが可能になります。業務プロセスを管理している業務部門また内部監査部門の方は、ぜひIT部門と情報共有の場を持ち、内部統制にITの活用が可能かどうかを検討していただければと思います。




情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?