<シリーズ>「日本版SOX法後」の業務はどう変わるのか(1)
「現場はやや窮屈になるが、組織としてはレベルアップする」――監査法人トーマツの久保氏
2007年05月14日 09時54分更新
現場の基本は「職務分離」「承認」「書面」
では、現場では具体的に何がどう変わるのか。久保氏は、どんな現場においても、(1)「職務を分離する」(2)「承認する・される」(3)「書面を交わす」ことが増えると考えられると指摘する。
(1)「職務を分離する」……アクセスできるデータが限定される
職務の分離とは、これまで1人が兼務していたことを、複数の人に分けるということ。「たとえばシステム部門では、“開発”“運用”と2つの業務があるが、これらの業務担当者を別々にするということだ。なぜなら、開発権限を持っている人が運用もしていれば、誰の承認も得ずに、自分の都合のいいようにプログラムを直して運用する可能性が出てくる。それを防ぐには、開発環境にアクセスできる人は、運用(本番)環境にアクセスできないようにしなくてはならない」(久保氏)
ここで肝心なのは、単に「開発担当者はシステムを動かしてはいけない」とルールを作って文書にするのではなく、システム上、開発担当者が運用できない設定に変更しなくてはならないということだ。
営業や販売部門でも同様だ。営業のAさんが顧客から注文を受け、商品名や個数、金額などを記した伝票を書いて、それを見ながら受注データとして入力し、その後変更があったらそれも変更する……といった一連の業務を1人で行なっていれば、故意ではなくても間違いが起こる可能性が高く、その間違いを指摘する体制が整っていないことになる。つまり、改ざんができる環境にあるわけだ。だから「伝票を書く」「データを入力する」「変更する」業務を、別々の人がするように体制を変えなくてはならない。
「特にシステムについては、それぞれの担当者がそれぞれの限られたデータにしかアクセスできないよう、人の権限を分けておくことが必要だ。したがって、たとえば部署で共有のIDを持つのではなく、個人個人にIDが与えられるようになるはずだ」(久保氏)
(2)「承認する・される」……ただし、財務に影響する範囲で
承認は、「ルール通りきちんと手続きを経ている」ことを証明するために必要な行為だ。たとえば営業部門では受注承認が、購買部門では発注承認が求められるようになる。
新規顧客から受注を受けた営業のAさんは、受けてもいいか上司のBさんに事前に承認を得て、かつ「承認された」ことを示す記録を証拠として残しておかねばならない。ただし、あらゆる受注に対して必要ではなく、久保氏によると「財務に影響するような金額についてで十分」だという。また、細かい商材を多数扱っている会社や特定の取引先に対して続けて販売しているケースでは、毎回の承認の必要がない場合もある。
(3)「書面を交わす」……口約束はNG!
取引の際には、契約書や発注書、納品書などの書面を交わすのがビジネスの常識。だが、馴染みの取引先や特定の業界によっては、書面を交わすことなく口約束で済ませている場合がある。こうしたことも減ってくるというのが久保氏の見方だ。
「これまで“何となく決まっていること”は、よりはっきりとし、口約束は少なくなるだろう。口約束で済んでいた取引先には、『この書式で書いてください』とお願いしなくてはならない」(久保氏)。当然、「何をいまさら」と取引先から抵抗されることもあるだろうが、「日本版SOX法に対応するため」と、先方に納得してもらうのも一つの方法だ。
業務の現場でも制度への理解を
日本版SOX法への対応では、現場にしてみれば文書や手続きが増えて面倒になるという感は否めない。久保氏も「ルールをはっきりさせて明文化するため、会社が窮屈になったと感じる人が出てくるかもしれない」という。
「しかし、これまで曖昧にやってきたことが見直されてくるわけで、会社としては本来、確実に良くなる」と久保氏は強調する。「面倒なことが増えたと感じたら、何のためにこうした作業をしているのか、制度の目的に立ち返ってみるといいだろう」と、現場で働く人たちにアドバイスしてくれた。
監査法人トーマツ代表社員・トーマツ企業リスク研究所所長 久保惠一氏
1976年監査法人トーマツ入社。銀行、メーカー、流通業などの会計監査や株式公開支援を経験後、エンタープライズリスクサービスを立ち上げ、企業リスクコンサルティング、情報セキュリティコンサルティング、内部監査支援業務等に従事。公認会計士、カナダ勅許会計士、公認情報システム監査人。著書に「図解 ひとめでわかる内部統制」(監修、東洋経済新報社)、「内部統制実践ガイド」(ダイヤモンド社)など多数。
