さて、内部統制に関して、リスクとコントロールポイントの洗い出しが終わったところです。
ここで不備が見つかれば、改善しなければなりませんが、その前に、実際には、業務フローチャートと業務記述書の内容が正しいかどうかを検証しなければなりません。
実際に、業務がそのとおり実施されているかどうかを見極めることです。これをウォークスルー(Walk Through)と言います。
業務遂行時に作成された帳票、書類、システムを使用していれば、その画面コピーなどを集めます。また、承認資料なども必要です。さらに、現場で目視による観察も必要になるかもしれません。
また、必要工数は、1プロセス当りあまり多大になることはないのですが、実施期間が長くなります。その業務がタイムリーに行われているかどうかでスケジュールを立てなければなりません。
また、必要工数は、1プロセス当りあまり多大になることはないのですが、実施期間が長くなります。その業務がタイムリーに行われているかどうかでスケジュールを立てなければなりません。
また、この期間中プロジェクトメンバーが常時ウォークスルーを行っているわけではありませんので、プロジェクトマネジメント的には、並行して実施可能なアクティビティも考えなければなりません。スケジュールを前倒しにできるのは、この期間しかないのではないでしょうか。
このウォークスルーを元に評価を行うわけですが、業務がそのとおり行われていなければ、文書の修正をします。
業務に内部統制の観点から不備が見つかれば、その改善計画を立てなければなりません。
改善計画を立てるにも、その改善方法の方針が必要になります。あまりコストをかけずに、人手で対応するのか、それとも、コストをかけ、徹底的にシステムを改善するのか。
実際には、不備の程度によりますが、将来のことを考えれば、システム改善の方がよいのではないかと思います。これが、ITアプリケーション統制です。
内部統制評価までの時間軸を考え、システム改善が可能だという前提です。期間的に無理であれば、人手による方法しかありません。
アプリケーション統制を考える上で、ERPの重要性が増してきます。また、ワークフロー(システムとして)も必要になります。
財務上のリスクは、人→人、人→システム、システム→人→システム、システム→システムのポイントで発生します。
例えば、人→人は、処理依頼伝達漏れなど。
人→システムは、入力漏れなど。
システム→人→システムは、データをシステムからダウンロードし、エクセルなどで加工して、加工データをシステムに戻す場合の計算ミスなど。
システム→システムは、インターフェースの問題などです。
これらのポイントで、完全性、網羅性などが保証されなければなりません。
そのリスク内容によって具体的には、対応策が異なりますが、ERPは、リスクの多くを減少させてくれます。入力されたデータは後続処理で参照されながら使用される。システム間のデータ転送は、ERP内部のモジュール間のデータ連携に置き換えられる。
ワークフローで業務間の連携があれば完璧ではないでしょうか。
ただし、既にERPを導入している企業です。これからERPを導入して内部統制を改善しようとするには、時間が足らないと思います。
また、ERPをフルに使用している企業は殆どありません。ERPだけで企業運営がなされているところもありません。既存システムとの連携の上で使用している企業が殆どです。既存システムをERPのモジュールに置き換えることも検討課題に入るかもしれません。
プロジェクトでは、業務の文書化と、IT全般統制を並行して実施し、改善、アプリケーション統制をその後に行うようにスケジュールしなければなりません。この順序を間違えると、プロジェクト期間がかなり長くなります。
コメントする