内部統制で現場の仕事はこう変わる

サブタイトルは「日本版SOX対応を業務別にやさしく解説」。

日本版SOX法について全く知識を持っていなかったのだが、2008年4月よりスタートしたということもあり読んでみた。
一般に法律がらみの解説書では、1.法律本文、2.法律本文の解釈、3.実運用、現場での影響の3種類がメインになるが、本書では3が中心である。今まで全くこの法律について知識がなかったため、1と2を読んでから3を読んだ方が理解しやすかったような気も若干する。この本のコンセプトは3なので、1と2から入りたい人はまず別の本で知識を得た方が良いかもしれない。

日本版SOX法の対象は上場企業であり、粉飾決算などの不正会計の防止を目的にしていると理解した。考え方としては、業務の流れや管理の仕組みを文書化し、その仕組みに沿って運用がなされているかどうかのチェックをすることになるのだろう。
当然不正防止のための仕組みとして、申請者と承認者の権限を明確に分け単独で不正を働けないようにする必要がある。

経理や財務といった部門の仕事に精通しておらず、前半はあまり理解できなかった。
後半のIT全般統制はなんとなくイメージはつかめたが、実際に運用するのはかなり厳しいのではないか。たとえばセキュリティ管理者、ユーザ、開発担当者の分離というのは結構困難で、開発者であれば自分のアカウントを作成して動作確認するであろうし(ユーザとなれる)、アカウントの作成やパスワード変更などのプログラム開発者は容易に新しいユーザを作成したりパスワードを変更したりできる(セキュリティ管理者)だろう。さらにDBの値を書き換えることもできる。つまり私の感覚だと、開発者であればその気になれば金額の書き換えや架空計上など可能であり不正を行える。
開発者の権限を少なくして不正を防止するという考え方はあるが、それをすると開発効率が落ちる。2重チェックにして開発者の作業を上司が承認する形になるのであろうが、なんとなくきっちりしたチェックはできないような気がする。開発要件の仕様段階でのチェック、動作確認テストの内容と結果の保持、そして最終的な開発結果の承認と厳密にチェックすることが必要になるだろう。

企業で働いている人にとって「内部統制」はこれから重要度を増すキーワードなので、知識として持っておくことは決して損にならないだろう。