PR

内部処理の正確さや網羅性を保証する

 見えないモノに関する統制は、システム要件定義あるいはシステム設計の段階で行う。計算処理が正確であることを証明するには、(1)全件処理される、(2)金額が不正に処理されない、(3)分岐処理が網羅的である、(4)エラー処理が網羅的である、(5)勘定科目が網羅的である、といった統制が必要になる。

 全件処理を証明する統制としては、「入力ファイルにヘッダーを設けて件数を入れる」、あるいは「データベースから当日の変動を抽出すると同時にトランザクション・ログから該当業務処理を抽出し、両者の件数をマッチングさせる」などが挙げられる。この方式は、金額の不正処理に対する統制としても有効である(図3)。

図3●見えないモノに対する業務処理統制で必要な作業の例
図3●見えないモノに対する業務処理統制で必要な作業の例
全件処理と金額不正防止に関する統制を追加する
[画像のクリックで拡大表示]

 分岐やエラー処理の網羅性を確保するには、マトリックス型の表を作成してまとめておくと、利用部門に分かりやすいものになる。ぜひ要件定義書に添付したい。エラー処理に関しては、エラーが発生した場合にシステム部門だけでなく、利用部門がどのように対処するかについても定義しておくほうがよい。

 勘定科目については、テーブルを作成して管理するのが一般的だろう。その際、勘定科目テーブルが異なる地域や拠点に存在する場合も多いと思われる。サーバーを地域や拠点ごとに分散させておくケースが少なくないうえ、日本版SOX法では連結子会社なども対象に含まれるからである。そうなると、複数のテーブルごとの整合性をどう担保するのかを要件定義の段階で明確にする必要が出てくる。

 ここではすべてを紹介できないが、このほかにも要件定義の段階で施すべき統制は数多い。システム部門はどうしても、システムの内部機能は正確に動いて当たり前と考えがちである。PMは、それをいかに外部に対してきちんと説明できるか、といった観点で統制を検討するよう心がけることが肝要である。

レビューの実施も検討すべき

 要件定義の工程では、内部統制の観点からレビューを実施することをお勧めしたい。たとえ内部統制を意識しつつ要件定義を進めたとしても、つい項目が漏れてしまう可能性は低くない。ある程度要件が固まった段階で業務部門の担当者や有識者を集めて、「財務報告の信頼性が確保されているか」といった観点で不足している部分がないかをレビューし、業務担当者の確認・承認を確保するのが有効である。

 そのためには、プロジェクトの計画時点で要件定義の期間を長めに確保するようにしたい。内部統制への対応にはそれなりの工数が必要なのは明らかだ。PMはこの点を経営陣にも十分に理解させる必要がある。

 企業によってはシステムの要件定義をIT部門に一任したり、外部委託先に任せるケースもある。しかし、ここで説明した業務処理統制は、ユーザー企業の業務部門が中心になってリスクを評価する必要がある点に注意が必要だ。PMは、業務部門を巻き込んだプロジェクト運営を心がけてほしい。

 各社の日本版SOX法に対する対応は、実施基準(ガイドライン)が出てくるタイミング(早ければ5月と言われているが、より遅れる可能性もある)で本格化すると思われる。しかし、それを待たずに早い時期から内部統制の確立に向けた準備に取り組まれることが肝要だろう。

 次回は、全般統制を意識したプロジェクト運営について説明する。