PR

土居 貢
KPMGビジネスアシュアランス
マネージングディレクター

ITリスクを中心に、リスクマネジメント態勢の高度化支援や監査業務に従事

 前回は、システム開発の要件定義フェーズで業務処理統制(アプリケーション・コントロール)の仕組みをどのように実現するかを説明した。今回は、ITにかかわるもう一つの内部統制である全般統制(ゼネラル・コントロール)を意識したプロジェクトの進め方について解説したい。

 日本版SOX法で求められる財務報告の信頼性を直接的に担保するのは、業務プロセスに組み込まれた業務処理統制である。ただし、それだけでは十分でない。システム開発や運用のように、利用部門の業務を間接的に補完する作業にかかわる全般統制も確立しておかなければならない。

 業務処理統制は、主にプロジェクトの要件定義工程に関係していた。これに対し、全般統制はプロジェクト全体を通じて意識する必要がある。内部統制を確保するためにプロジェクト運営のルールを明確化し、そのルールを全体で順守する仕組みを作る。さらに、確保した内部統制が有効であると評価することが求められる。

 PMはシステム開発や運用にかかわる全般統制を重要なものと位置づけ、その確保と有効性の評価を心がけなければならない。以下、順を追って留意すべき点を見ていこう。

運営ルールの“漏れ”に注意

 システム開発プロジェクトにおける運営ルールとは、進捗管理や工数管理、障害管理などの手順や、各工程で作成すべきドキュメントの定義などを指す。全般統制の仕組みを作るにはまず、プロジェクト運営に関するルールが組織全体で制定・承認されているかどうかを確認する必要がある。読者の皆さんの会社ではいかがだろうか。

 こうした運営ルールをすでに備えている場合、PMは基本的にそのルールを順守してプロジェクトを運営すればよい。ただしその場合でも、既存のルールが日本版SOX法の要求事項を満足しているかどうかをチェックしておく必要がある。運営ルールを決めていない場合は、プロジェクト計画書を作成する段階でルールを明確化しなければならない。しかるべき権限者に計画書を承認してもらうのも必須である。

 恐らく、プロジェクト運営に関するルールをまったく決めていないという企業は少ないはずだ。程度の差こそあれ、何らかの形でルールをドキュメント化しているのではないだろうか。その場合に注意すべきなのは、ルールの漏れである。特に、工程終了の基準や、誰がその内容および終了を承認するかに関するルールを決めていない、といった例をよく見かける。

 工程終了基準としては、「プロジェクトの目的や目標値が実現可能になっているか」、「今後の工程で解決すべき残課題が明確になっており、その解決の見込みは立っているか」などがある。以前に本連載で触れているので(2006年3月6日号)、詳細はそちらを参照してほしい。誰が承認するかに関しては、プロジェクト・オーナー、システム・オーナー、PMなどの役割分担をはっきりさせた上で、意思決定権限と同時に責任を明確にしておくことが重要だ。

 全般統制の品質すなわちプロジェクト運営の品質は、業務処理統制の品質すなわち成果物の品質を間接的に支える。プロジェクト工程の切れ目が不明瞭だと、成果物の品質低下を招く恐れがあるので気を付けてほしい(図1)。

図1●工程の切れ目で発生するリスク
図1●工程の切れ目で発生するリスク
[画像のクリックで拡大表示]

基本的要素すべてを順守すべき

 では、プロジェクト運営ルールが明確化されれば、内部統制を確保できたと言えるのだろうか。以下の例をご覧いただきたい。

 製造業A社は、長年使い続けた会計システムを刷新すべく、新システムの構築プロジェクトを立ち上げた。PMを務めるB氏の下、プロジェクトは順調に進捗している。

 その最中に、B氏は会計士のZ氏から内部統制の有効性に関する質問を受けることになった。「今回のプロジェクトは財務報告に重要な影響を及ぼす可能性がある」と判断したからだ。

 Z氏はB氏に、「このプロジェクトでは、品質を確保するためにどのような取り組みを進めていますか」と尋ねた。B氏は「プロジェクト運営基準を作成した上で、システム開発規定や各種ワークシートをそろえています」と回答した。

 読者の皆さんがZ氏の立場だとして、A社のプロジェクトにおける品質確保のための内部統制は良好と判断するだろうか。

 答えは否である。B氏の回答は、内部統制の基本的要素の一つである「統制活動」を説明しているにすぎないからだ。ご存じの方も多いと思うが、内部統制の基本的要素には、(1)統制活動のほかに(2)統制環境、(3)リスクの評価と対応、(4)情報と伝達、(5)モニタリング、(6)ITへの対応、の六つがある。

 (1)から(5)は、内部統制の基本的枠組みを示した事実上の世界標準である「COSOフレームワーク」で規定されている。(6)は、日本版SOX法で新たに追加されたものだ(詳しくは、金融庁企業会計審議会内部統制部会の「財務諸表に係る内部統制の評価及び監査の基準案」などを参照)。