業務処理統制とは、適正に業務が実行され、それに関する情報が適正に保存されるようにIT機能を利用して管理すること。
目次 |
業務処理統制の概要
| COSOとは |
|---|
| the Committee of Sponsoring Organization of the Treadway Commissionの略で、日本語ではトレッドウェイ委員会組織委員会。不正な財務報告を防ぐための策を考案するためにアメリカで組織された。 |
COSOフレームワークによって、内部統制の要素として
- 「統制環境」
- 「リスクの評価」
- 「統制活動」
- 「情報と伝達」
- 「監視活動」
の5つが挙げられている。日本では金融庁が、COSOが挙げた5つの要素に
- 「ITへの対応」
| フレームワークとは |
|---|
| 考え方の枠組みのようなものであり、対象の事象を捉えるときに漠然と表示するのではなく、ある視点から整理することにより理解しやすくするもの。 |
金融庁によって、業務処理統制は「ITに係る業務処理統制」として6要素のうちの「ITへの対応」のなかに位置づけられている。したがって、業務処理統制にはITの利用を前提とされていることになる。 具体的には、
- 業務実行が権限者に承認される
- 承認を受けた業務が適正に実行される
- 実行内容が適正にデータベースに記録される
といった一連の実行管理が、情報システムによって業務プロセスに組み込みこまれたものが業務処理統制(IT業務処理統制)である。
ただし、金融庁も業務処理統制について「人とITが一体となって機能する統制活動」にも触れており、手動の作業が存在するのも事実である。(後述)
日本における業務処理統制の位置づけ
業務処理統制は「財務報告に係る内部統制の評価及び監査に関する実施基準」(金融庁)の中で定義されている。
すなわち「内部統制の6基本要素」の一つである「ITへの対応」は
- 「IT環境への対応」
- 「ITの利用及び統制」
の2つの実施により満たされ、更にその内の「ITの利用及び統制」は「ITの利用に関する5観点」と「ITの統制についての2観点」により担保される。業務処理統制はその「ITの統制」の1観点である「ITの統制の構築」の中で定義されている。
|
<ITの利用>
|
|
<ITの統制>
|
なお「「ITの統制の構築」の中では
- 「ITに係る業務処理統制」
- 「ITに係る全般統制」
の表現で2活動が説明されている。前者は「個々の業務処理システムにおいてデータの入力、処理、出力が正しく行われるよう管理すること」、 後者は「業務処理統制が健全かつ有効に機能する基盤・環境を構築すること」と定義されている。前者を指して単に「業務処理統制」、後者を指して単に「全般統制」と呼ぶ場合がある。
IT業務処理統制
IT業務処理統制とは、情報システムに組み込まれて自動化された業務処理統制のこと。個々の業務処理アプリケーションにおいて、業務実行に関するデータの「正確性」、「正当性」、「網羅性」、「維持継続性」を確保する。
- 正確性・・・入力すべき情報が正しく入力・処理・記録が行われること。
- 正当性・・・適切な承認ルートを通った情報のみが入力されること。
- 網羅性・・・入力された情報が漏れも重複なく処理され、目的通りに出力されること。
- 維持継続性・・・正しい情報が継続して更新され、整合性が保たれていること。
上の4つを確保するために具体的に行う統制活動としては次のようなものが考えられる。
- アクセス・コントロール・・・社内のリソースに対するアクセス権限をコントロールする。
- インプット・コントロール・・・入力データに不適切なものが含まれないようなにコントロールする。
- プロセシング・コントロール・・・適正な業務プロセスが維持されるようにコントロールする。
- インターフェース・コントロール・・・複数の異なるシステム間でデータ連係をするためにインターフェースをコントロールする。
- アウトプット・コントロール・・・出力データに不適切なものが含まれないようにコントロールする。
- マスタデータ・コントロール・・・参照元となる基本的なデータ(マスタデータ)を適切に登録・維持できるようコントロールする。
業務処理統制における「手作業」の存在
情報システムによって自動化できない統制については、情報システムと人手が一体となって機能する統制が必要になる。具体的には、以下のような手作業が組み合わされる。
- 照合作業・・・正確性や網羅性を確保する作業。例えば、伝票の照合。
- 承認作業・・・正確性と正当性を確保する作業。例えば、書面による承認。
- 現物確認作業・・・実在性を確保する作業。例えば、実地棚卸しによる在庫確認。
- 例外処理のチェック作業・・・例外処理への対応によって適正性を確保する作業。
業務処理統制実施の手順
業務処理統制が適正な業務実行を管理する統制活動である以上、個々の業務プロセスを文書化することが不可欠になる。業務プロセスの文書化については、現行の業務プロセスを洗い出すやり方と新たに業務プロセスを設計するやり方がある。前者は現場の混乱や反発が少ないなどのメリットがあり、後者はリスク管理が行いやすいなどのメリットがある。業務プロセスの文書化についてはBPM製品のモデリング機能を活用することができる。
業務プロセスの定義が終わると、業務プロセスに係る個々のリスクを洗い出し、リスクに対する適切なコントロールの検討を進めていく。その際に、重要になるポイントはIT業務処理統制での対応である。内部統制は継続的な活動であり、IT業務処理統制での対応が不十分になると内部統制の有効性の評価・改善のために人手と時間がかかることになる。実際、SOX法を一足先に適用した米国では、統制活動において情報システムに任せられる箇所は極力ITに任せるような仕組みに変える動きがある。
業務プロセスの実行に当たっては、業務が適正に実行されているか監視することと実行結果の情報がすべて保存されることが必要になる。特に、洗い出したリスクに対しての監視は重点的に行うことになる。BPM製品のモニタリング機能を使えば、リスク管理も行える。
業務処理統制の実施手順とBPMの導入手順やその役割は重なっている箇所が多く、BPMを導入することでスムーズな業務処理統制の実施と業務の効率化を達成できる。
業務処理統制の評価
内部統制について、「連結ベースでの財務報告全体に重要な影響を及ぼす内部統制」を「全社的な内部統制」、「業務プロセスに組み込まれ一体となって遂行される内部統制」を「業務プロセスに係る内部統制」と定義している。業務処理統制の評価方法は「業務プロセスに係る内部統制」の評価方法を採用できる。「業務プロセスに係る内部統制」の評価は「全社的な内部統制」の評価結果を踏まえて行う。したがって、業務処理統制の評価も全般統制の評価を踏まえることがふさわしい。
業務処理統制に不備がある場合には、その影響度と発生可能性の評価を行う。また、その不備内容がIT業務処理統制から発生しているものなのか業務処理統制に存在する手作業から発生しているのかを識別する必要がある。
