「内部統制」と言われても、今一つピンと来ない。
「内部統制の例を幾つか説明してみて」なんて言われたら、逃げ出したくなる。
しかし、それほど難しく捉える必要はない。内部統制は「不正を無くすための活動」と言うだけの話だ。
- a. 壁に「不正経理は絶対ダメ」と言うポスターを貼る (統制環境)
- b. 事務所の現金をチョロマカス奴でるか?を分析する (リスクの評価と対応)
- c. 部長やメンバの権限を、キッチリと規程にまとめる (統制活動)
- d. 顧客からのクレームが必ず複数人に伝わる仕組みにしておく (情報と伝達)
- e. 他部署の管理職者にも業務日報が閲覧できるようにしておく (モニタリング)
例えばこれらの活動も「不正を起こさないための活動」と言える。(当然すぎて発想できない)
ただ、今日に至り注意すべきは、こういった活動もコンピュータやインターネットの活用を無視できない点だ。すなわち、全ての会社は、(1)会社を取り巻くIT環境を理解し、(2-1)これらの活動を支える様なITの利用を促進し、また同時に、(2-2)活用ITそのものをキッチリと管理できなければならない。事実、日本の内部統制は、上記5つに「ITへの対応」を加えた6つの観点で評価される。
以下のワークフロー定義は、情報システムの「利用者アカウントを新規発行」する業務だ。「内部統制」の根幹を支える業務と言っても過言ではない。
業務フロー図を眺めてもらえば分かるが、「アカウント発行」の他に「アカウントの削除」や「緊急時の発行削除」にも対応している。つまり、今現在の活用されている全てのユーザアカウントは、いつ申請され、いつ上司承認されたモノなのか、いつでも確認できるようになる。加えて、ここに流れた申請データは、
- 「適切な時期に申請されているか?」
- 「無用なアカウントが発行されていないか?」
- 「アカウント発行のチェック体制は十分に機能しているか?」
など、経営者自身が作成する統制報告においても重要な基礎資料にもなる。
[システムID管理業務(PWリセット業務を除く)]