企業診断所
企業診断所オープン
企業診断所 所訓
●第五回
内部統制のこれからを考える
セミナー1  内部統制の管理基準として経済産業省から「システム管理基準追補版」と「財務会計パッケージソフトウェアの機能等一覧表」が発表されました。OBCでは、会計パッケージメーカーとしてどのように企業を支援していくのかを考え、内部統制の実現可能な提案として2008年3月に「奉行Conference」を開催いたしました。全国6会場、計335名のお客様にご来場いただき、内部統制に対する関心の高さを実感いたしました。そこで今回は、セミナーのリポートを通じて成長企業、中堅企業が着手しなければならない取り組みについて解説いたします。
解説1  なぜ業務統制なのか?
 内部統制とは、経営品質を保証する仕組みです。大手企業では、グループ会社・複数事業といった広い組織が統制対象となるため、全社統制から、全般統制、業務統制までを対象としています。しかし、成長企業、中堅企業では、まず企業経営において実際に取引や資金を扱う業務から着手し、統制をかけることが効果的です。
解説2  業務統制のポイントとは?
 基幹業務を運用するシステムにはどのような統制が必要なのでしょうか。経済産業省の「システム管理基準追補版」によると、「不正なプログラム開発リスク等を回避可能」し、「バージョンアップ等にて不正なプログラム変更リスクが限定できる」要件をシステムに求めています。つまり、自社独自のオーダーメイドのプログラムでは統制のチェックが難しく、「パッケージの統制機能により全体的なリスクを低減可能」と示唆しています。財務報告へデータを提供するソフトウェアには、リスクの少ないパッケージソフトが内部統制に有効であると言えます。
解説3  財務会計パッケージソフトウェアの機能等一覧表とは?
 経済産業省は、システムのIT統制の評価に有用と思われる質問項目を「財務会計パッケージソフトウェアの機能等一覧表」に例示しています。今回は、この一覧表の中から重要な確認項目をピックアップし、想定リスクに対して財務会計システムで対応するための機能を読み解いていきます。

確認項目1 データ入力
●想定リスク
入力されるデータに漏れや重複が発生する、承認されていないデータが入力されてしまう、あるいは不正な変更が行われるリスクが想定されます。この対策としては、データ入力の際、ミスや不正入力が起きない入力支援や、厳密なチェックを行う承認フローが必要です。
 矢印
●システム対策
入力した日付や期間、入力金額、勘定科目の実在性や貸借に異常がないかチェックする機能、入力データを承認する機能が必要です。また、承認確定したデータへの変更の際は赤・黒伝票による訂正のみとするか、変更履歴を残す、さらには月次・四半期・半期・年次で締めた後は完全にデータロックするシステムで対応できます。
確認項目2 インターフェース
●想定リスク
他システムと自社会計システム間で連携を図る際には、データの受け渡しミスが発生する可能性があります。この対策としては、相互のデータが正当、正確、完全であるように各システム側で統制が必要です。各システムのデータ形式を正確に把握し、データをインポート・エクスポートした際、厳密にチェックする仕組みが必要です。
 矢印
●システム対策
自社会計システムがCSVなどのデータ形式でインポート・エクスポートできる場合には、そのデータレイアウトの開示が必要です。データを受け入れる際には仕訳を手入力する際と同様のチェック機能を持ち、受け入れできなかった場合には、その理由をエラー表示することや未受入データをファイル出力する機能で対応します。
確認項目3 集計・検索・印刷
●想定リスク
仕訳データの勘定科目合計に漏れや重複がある帳票間の整合性が採れない場合、財務報告の完全性・正確性を保証できません。この対策としては、日次・月次でバッチ更新処理が必要な場合、明細と集計が不一致する可能性がないか、また手動でチェックする上で正確なデータを出力する仕組みが必要です。
 矢印
●システム対策
各帳票から関連する帳票や明細が表示できることで、帳票間の整合性が確認できます。仕訳伝票が一意な状態を保つには、伝票番号は自動付番や重複番号をチェックする機能で制御し、日付・入力者などの詳細な条件で検索する機能も必要です。そして、印刷物に印刷日付や印刷者の情報を印字し、出力の正確性を保証できます。
確認項目4 繰越
●想定リスク
年次及び月次等の繰越処理の際、正しい期首残高が維持されない恐れがあります。この対策としては、修正の影響が大きい残高データの変更をロックし、修正できる場合にはその証跡を残す仕組みが必要です。
 矢印
●システム対策
締め処理による残高確定の機能、確定後の残高を修正したログおよび内容を保存する機能で対応します。
確認項目5 法規制
●想定リスク
法規に則った消費税計算が行われていないリスクを防ぐため、消費税の自動計算あるいは手入力されたデータを確認でき、電子帳簿保存法に対応したログ管理の仕組みが必要です。
 矢印
●システム対策
消費税が自動計算による仕訳か手入力による仕訳か識別でき、消費税金額の手修正ログを保存する機能で対応します。また、伝票明細の登録・削除・修正の履歴を保持する電子帳簿保存法対応を明示しているシステムか確認が必要です。
確認項目6 パッケージの導入保守
●想定リスク
アクセス可能なデータベース及びOS環境下で運用している場合、その環境に直接アクセスし、プログラム、パラメータ、データを改ざんされる可能性があります。この対策としては、初期設定項目と変更内容を残す必要があります。また、ソースコード開示および変更が許可されている場合、変更が必要な項目以外は保護しなければなりません。
矢印
●システム対策
システム管理上重要な設定項目やマスタ・データ項目の変更があった場合、変更履歴を残す機能で対応します。また、ソースコードは変更できない仕組みを取るか、カスタマイズしている場合にはそれを判別できる仕組みによりパッケージのプログラム変更を防止します。また、バージョンアップでは、変更される機能・既存データやプログラムへの影響を明らかにし、バージョンアップ失敗時にはロールバック機能で対応します。
確認項目7 システム運用管理
●想定リスク
障害発生が記録・検知されない場合、障害に対して誤った対応がなされ、障害対応が放置されるリスクが発生します。この対策としては、データ消失やログ情報消失を防ぎ、元の状態に復旧できる仕組みが必要です。
 矢印
●システム対策
システム運用時の稼働状況や発生した障害が確認もしくは表示・出力できるシステムが必要です。また、被害を最小限に抑えた復旧には、自動バックアップ機能やリカバリー機能で対応します。
確認項目8 アクセス管理等
●想定リスク
職務権限と大幅に乖離した権限の付与、あるいは管理者権限が不正利用される恐れがあります。この対策としては、ユーザーID及び権限付与内容、さらには各ユーザーのシステム操作状況が確認できる仕組みが必要です。
 矢印
●システム対策
パスワード桁数に加えて、利用文字種、パスワード変更期限の設定といった、セキュリティポリシーに従った設定機能が有効です。また、ユーザーの改廃・権限の付与などシステム管理上重要な項目には特定の管理者しかアクセスできないようにします。個々のユーザーに対する処理メニュー単位のアクセス権限設定と操作内容のログ管理ができるシステムで対応します。
奉行シリーズの内部統制対応
奉行21シリーズでは、内部統制ソリューションと組み合わせることで対応いただけます。システムに対するアクセス制限の強化には、「静紋 For 奉行(静脈認証ソリューション)」と「e-UBF for 奉行(指紋承認ソリューション)」をお勧めします。指紋や静脈などのバイオメトリックス認証により、パスワード変更の手間をかけずに、強固なセキュリティを実現します。また、データの更新履歴の保存や追跡には、ログソリューション「ESS REC for 奉行(指紋承認ソリューション)」で対応可能です。PC操作を録画し、画面に含まれた文字をキーワードにテキスト検索ができます。
奉行V ERPは、成長企業・中堅企業の幅広い業務を網羅したシステムです。上記で解説しました、経済産業省の「システム管理基準追補版」を詳細に検討し、内部統制に必要な機能を標準実装しています。是非この機会に、お使いのシステムをご確認いただき、内部統制に対応した奉行シリーズをご活用ください。
今回の処方箋
セミナー2 OBCでは、内部統制および管理会計を効率的・効果的に実践するソリューションをご用意し、企業様の管理体制やご要望に合った提案を行っております。個別の相談も承っておりますので、お近くのOBC各事業所にお問い合わせください。また、ウェブからも資料請求ができます。
解決のヒント
← 企業診断所 第4回 ↑ 企業診断所 トップへ
← 「奉行にプラスワン」はこちら

●奉行EXPRESSより