こんにちは。最近釣りに行っていない徳永です。

ラクーンでは約10年間JSOX対応した内部統制を運用してます。JSOXでは財務報告書の信頼性確保を目的とするため、お金に関係するデータを扱う業務のリスク分析を重点的に行います。ラクーンにおける対象の業務フローには、多くの自社開発のシステムが含まれるため、必然的に我々技術戦略部はJSOX対応を意識したシステム開発を行っています。また、技術戦略部から私を含めた数名が内部統制チームへ参画してリスク分析や評価をしています。
そこで、ラクーンの技術戦略部がJSOXに対応したシステムを開発運用する上で不備の指摘を受けないように気をつけてきたことをいくつか紹介します。これから上場するためにJSOX対応が必要となる会社や、そうでなくてもシステムの信頼性を高める施策のヒントとなれば幸いです。


ヒント1.システム改修時にこそJSOXへの対応を意識する


新規でシステム開発する場合は、事業部と技術戦略部に加えて経理の部門からも人員がアサインされて仕様検討を行うため、JSOX対応が開発要件から漏れることはほとんどありません。
しかし既存システムへの機能追加の場合は小規模な体制で実施されることが多く、JSOX対応が不十分なままリリースに至ってしまうケースがあります。その場合は後付けでのJSOX対応が必要になり、応急処置的な手作業やデータメンテナンス、追加開発など様々な問題が発生します。

ラクーンでは技術戦略部のJSOX担当者が設計段階でJSOX的観点でのレビューを行い、必要に応じて指摘することで問題の発生を未然に防いでいます。


ヒント2.データが漏れなく正確にシステム間を連動していることを常にチェックする


JSOXでは取引データが発生から財務報告計上まで漏れなく正確にシステム間を連動していることを証明しなければなりません。
スーパーデリバリー販売サイト
(小売店が出展企業の商品を注文するサイト)
<注文>
販売管理サービス
(小売店から注文された商品の出荷やキャンセルを行う出展企業の販売管理)
<出荷>
基幹販売管理システム
(スーパーデリバリーの全販売実績を集約するラクーンの社内基幹システム)
<仕訳>
会計システム
小売店が販売サイトで<注文>するこで、販売管理サービスに「注文伝票」が発生する。
そして、出展企業が販売管理サービスで<出荷>することで、「注文伝票」が「売上伝票」として基幹販売管理システムにデータ連動される。(データ連動①)
最後に、基幹販売管理システムの「売上伝票」が<仕訳>されることで「仕訳データ」として会計システムにデータ連動される。(データ連動②)

このように「売上伝票」は2ヶ所でのデータ連動が発生しているので次のような存在確認が必要となります。
  1. 販売管理サービスで<出荷>された「売上伝票」は全て正しく基幹販売管理システムに存在していること。
  2. 基幹販売管理システムの「売上伝票」は全て仕訳されて会計システムに存在していること。
そこで、ラクーンではデータ連動に対して、以下のチェック機構を実装することで連動不備を発見し、放置せず早期にリカバリーしています。そのようにして売上伝票が漏れなく正確にシステム間で連動していることを証明しています。
  • 連動確認バッチ:日次バッチで前日に発生した売上伝票が全て「基幹販売管理システム」に連動していることを件数と金額を連動前後のシステムで比較して不備を発見しています。
  • 連動状況の見える化:連動前後のシステムにおける日々の売上伝票の件数と金額の比較結果を一覧表示することで経理部門の担当者が日々それをチェックして不備を発見しています。


ヒント3.お金に関係する手作業によるデータメンテナンスは承認と記録を残す


前項で説明したように、JSOX対応として、データが漏れなく正確にシステム間を連動していることを証明しなければなりません。そのため、運用上のイレギュラー対応として、システムを介さずにデータメンテナンスを行う際には、必要な権限者による承認と、メンテナンスの記録を残してJSOX対応評価の際に説明できるようにしています。イレギュラーな手作業による対応にも統制が機能していることで財務報告書の信頼性確保ができることを証明しています。

ただし、頻繁に手作業によるデータメンテナンスが発生する箇所は、JSOX対応評価でも余計な手間がかかることと誤操作によるデータの不備の発生リスクが高くなるため、システム化することをおすすめします。


ヒント4.お金に関係するシステムは特に厳しく権限を管理する


繰り返しになりますが、JSOXではデータの正確性が重視されています。そのため、お金に関係するシステムの使用権限やデータメンテナンスが行える権限は、特定の職務権限者にしか付与されないような統制が必要とされます。そうすることで、データの正確性を欠くような不用意なデータメンテナンスが行われるリスク回避をしています。また、権限管理の統制行為としては定期的に各部門長によるシステムの使用権限者の棚卸しを行うことも重要です。


さいごに、


JSOX対応が利益を産むわけではないため、どこの会社でも贅沢なコストはかけることができないと思います。しかし、JSOX対応を確実に行うことで「財務報告書の信頼性確保」の達成に加えて、リスク低減や回避策を検討できることは会社にとってメリットとなるはずです。