PR

入力データのチェック機能を実装したり,ユーザーの操作ログをすべて取ったりすることができれば,確かに不正入力のリスクは減るだろう。しかし,時間が足りない状況で,新しいツールを導入したり,システムを大幅に改修したりするのは難しい場合もある。

 「売り上げを多く見せるため,商品の単価を書き換える」「販売個数を水増ししてシステムに入力する」――。これらは,不正入力が可能というリスクの具体例である。商品単価や在庫数などは財務諸表に直結するため,不正ができない仕組みが必要である。

アプリ画面のみの修正で統制

 「入力データのチェック機能を実装する」「ユーザーの操作ログをすべて取ることで不正を抑止したり発見したりする」。このような不正ができない仕組みを実装できれば,確かにリスクは減るだろう。しかし,時間が足りない状況で,新しいツールを導入したり,システムを大幅に改修したりするのは難しい場合もある。米SOX法対応を行ったワーナーミュージック・ジャパンもそうした悩みを持つ1社だった。

 同社では,販売しているCDの価格や印税率といったデータを管理するアプリケーションに修正すべき問題があった。簡略化して説明すると,商品Aは部署Aが,商品Bは部署Bがそれぞれ管轄していた。当然部署Aの担当者は,商品Bの価格や印税率を修正する権限はない。しかし商品Aと商品Bの管理が同じアプリケーションだったので,「権限のない商品の数字を書き換えることができた」(ワーナーミュージック・ジャパン システム部 システム管理課 課長 藤野勲氏)のだ。

 アプリケーションの修正は絶対に必要。しかし,プログラムのロジックを大きく改修することだけは避けたかった。改修に時間がかかるだけでなく,テストに時間がかかるからだ。そこで,画面部分のみを変更した(図2)。具体的には,「部署Aの画面に商品Bを表示しない」というように,権限外の商品情報が表示されないようにした。藤野氏は,「画面だけを修正することで,変更部分を最小限にしながら,内部統制が確立できる仕組みにできた」と振り返る。

図2●ワーナーミュージック・ジャパンは画面の変更のみで統制を実現
図2●ワーナーミュージック・ジャパンは画面の変更のみで統制を実現
権限のない商品単価を修正できるリスクがあった。ロジックの変更を行わず,画面部分の修正だけで内部統制 を確立した
[画像のクリックで拡大表示]

 不正入力という点で特に見逃せないのは,マスター・データだ。これを不正に書き換えられると,財務上の数字に与える影響は大きい。例えば取引先コードのマスター・データの場合,不正に書き換えられると,架空の取引先から商品を受注したようにみせかけて,架空の売り上げを計上できてしまう。横領のために架空の取引先に現金を支払ったりすることも可能になる。

 ヤンセンファーマの輿水隆行氏(情報システム部 Chief Information Compliance Officer)は,「在庫マスターや仕入れ先マスターといった重要な情報に,不正な変更がなかったかを確認するために操作ログを取得し,確認するようにしている」。

 日本ユニシスでSOX法対応コンサルティングを手掛けている八津川直伸氏(JSOXサービスチーム マネージャ)は,「誤った取引先コードの入力を防ぐために,決められたファイル・サーバーから取引先コードを毎回ダウンロードし,そのファイルにあるコードを入力する。その上で,入力したコードを上司がチェックするといった仕組みも有効だ」と語る。

表計算ソフトのマクロをチェック

 企業によっては,財務諸表や在庫数などの重要な情報を,マクロを組み込んだ表計算ソフトで管理している場合がある。例えば,上場している企業の子会社が連結決算のために,表計算ソフトを使って決算情報のファイルを作成し,それを親会社に送信しているようなケースである。 この行為自体が悪い訳ではないが,マクロを無断で修正できてしまうと,不正データが生み出されるリスクとなる。そこでガートナージャパンの松原氏が勧めるのが,ファイル・サーバーで原本のファイルを管理し,そのファイルのマクロをそのまま使うようにする方法だ(図3)。

図3●財務諸表の作成に表計算ソフトを利用している場合の統制例
図3●財務諸表の作成に表計算ソフトを利用している場合の統制例
ファイル・サーバーでのアクセス権限設定と,原本とのマクロ比較がポイントになる
[画像のクリックで拡大表示]

 具体的には,まずマクロを組み込んだ表計算ソフトのファイルを原本とし,修正できないようにしておく。また,ファイル・サーバーのアクセス制御機能を使って,ファイルを操作できる担当者を絞り込んでおく。担当者が財務諸表の作成といった作業をする場合は,この原本ファイルをコピーする。コピー・ファイルは修正可能だが,マクロは修正しないで使う。後から上長が,入力された数字のチェックに加え,原本ファイルのマクロと作成したファイルのマクロを比べることで,不正な修正がないかを確認する。

 こうした運用が難しい場合は,「複数の担当者に同じ財務諸表の作成を依頼し,その結果を突き合わせるといった方法もある」(KPMGビジネスアシュアランス 執行役員 マネージングディレクター 橋本勝氏)という。