ドクターQがお届けするIT統制ブログ　ITサプリ

日本版SOX法に適用する、より安全性の高いシステム構築に向けての対策、
第24回目です。

本シリーズは、BtoB取引における統制活動に関して解説しております。
毎回紹介する統制活動から、あなたの会社の各業務プロセスに対するITによる
統制環境を検討していただきたいと考えています。

さて今回は、支払管理に関する統制活動にフォーカスを当てましょう。

支払管理業務とは、仕入先からの請求に基づいて仕入先に代金を支払う業務で
す。実際に現金を扱うため、一般的に不正の問題が発生する可能性が高い業務
と言えます。それでは早速、支払管理に潜むリスクと必要な統制活動を具体的
に解説していきます。

■支払管理における想定リスクは下記の3つが想定できます。

• 請求額以上の支払い（または二重支払い）を行うリスク
• 発注していない（あるいは納品されていない）商品の請求に対して
  支払いを行うリスク
• 仕入先とは異なる企業に支払いを行うリスク

支払管理におけるリスクは、企業のキャッシュフローに直結して甚大な影響を
及ぼす可能性があります。このようなリスクが資金ショートを招き、最悪の場
合、倒産というケースも想定できます。支払管理の不正を防止し、リスク発生
の可能性を低減させる統制活動の実施が必要です。

■支払管理における統制活動

前述のようなリスクを軽減させる統制活動として、
3つの具体例をあげることができます。

1. 関連情報との照合

仕入先からの請求内容を確認するために、担当部署は必ず自社の発
注データと検収データの照合を行うことが必要です。発注データは発注
管理業務の結果であり、検収データは検収管理業務の結果です。
　2つの業務との整合性を確認することで、請求内容を確認できます。
ここで重要なのは、発注管理、検収管理ともに同様の統制活動が実施
されていることです。統制活動は部分的な実施では効果がありません。
関係性の高い業務プロセス全体に実施することが大切です。

2. 職務の分離

請求書を確認して経理処理を行う担当者と、支払いを行う担当者との
分離が必要です。統制活動に積極的な企業が採用している方法として、
支払窓口担当者が請求書を受け取り、出納担当者が振り込みを行う、
というやり方があります。職務を分離させることで、相互抑止が働き不
正防止につながります。

3. 請求書への済印

二重支払い防止を目的に、支払処理された請求書に「済印」を押印し
たり、穴を開けるなどの作業を徹底する必要があります。これにより、
同一請求書での多重請求防止が可能になります。

企業のキャッシュフローに直結する業務だけに、統制活動の実施は必須。
企業活動を安定して継続するためにも、基本基盤として統制活動の実施を
おすすめします。

さて、あなたの企業は大丈夫でしょうか。
ひとつひとつ確実にリスクチェック・制度を整備することで、
強固な内部統制を確立してください。もちろん、Dr.Qもしっかりお手伝いします。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュ
メント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。
ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法時代のセキュリティ体制へ…BtoB取引における統制活動(3/9)

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な
対策、連載第23回目。本シリーズのテーマは、BtoB取引における統制活動です。

さて今回は、検収管理に関する統制活動についてです。
検収管理とは、納入品が発注内容に合っているかを検査する業務を意味します。
検収が完了すると、仕入先に費用を支払うことになります。
言い換えれば、検収とは商品に関する責任が仕入先から自社へ移る分岐点です。
それだけに、商品の品質、種類、数量などに関して念入りにチェックすることが、
リスクマネジメントの面からも極めて重要になります。
それでは、検収管理に関するリスクの確認と、必要な統制活動について
解説していきましょう。

■検収管理における想定リスクは下記の3つが想定できます。
◎発注していない商品を受け入れてしまうリスク
◎仕入先の納品ミス(商品の取り違えなど)を発見できないリスク
◎検収の結果、返品が必要であるにも関わらず放置されてしまうリスク

上記のリスクが原因で、得意先に誤った商品を出荷してしまったり、
不要な在庫が増えてしまったり、仕様に合わない材料で製品を製造して
しまうなどのケースが想定できます。

結果、取引先との信頼関係を悪化させるという可能性も否定できません。
また、検収後に瑕疵(かし　※傷や品質上の問題)による問題が発覚した場合、
保証期間内なら返品できるという契約が多く見受けられますが、
期間が過ぎれば追加費用を支払う必要があります。

瑕疵がある商品は即座に返品し、仕入先の瑕疵担保責任を問えるように
検収体制を整備することが重要です。

■検収管理における統制活動
前述のようなリスクを軽減させる統制活動として、
3つの具体例をあげることができます。

1：関連情報との照合
重要なのは、仕入先の納品データと、自社の発注データの2つを照合させながら検
収業務を進めることです。
照合によって発注した通りの数量、種類で納入されているかを確認できます。

2：職務の分離
商品発注部門と、検収業務担当部署を明確に分離させることが重要です。
これにより相互抑制が働き、つねに高い検収精度を維持できます。
また、架空発注や架空検収などの不正行為の抑止にもつながります。

3：方針の明確化
瑕疵がある商品が確実に返品されるように、自社の統一ルールを明確にすることが
重要です。

◎返品商品は専用の保管場所を設ける
◎検収後3営業日以内に返品を行う

検収管理に厳格な統制活動を導入することで、企業のリスクマネジメントは
確実にレベルアップします。不正行為も抑止できます。
企業価値を維持させるためにも、非常に重要な基盤と言えるでしょう。

さて、あなたの企業は大丈夫でしょうか。
ひとつひとつ確実にリスクチェック・制度を整備することで、強固な内部統制を確
立してください。
もちろん、Dr.Qもしっかりお手伝いします。
次回は、「支払管理における統制活動」に関して解説します。
Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュ
メント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。
ただいまプレゼントが当たる、キャンペーン実施中です。

　2005年4月の個人情報保護法施行により、個人情報漏えい対策への関心が高まっています。セキュリティ対策の完成度を評価する"ISMS"という制度も設置され、各企業に対して情報漏えい対策への取り組みが本格的に求められる状況となってきました。

　企業が保存している情報が漏えいすると、企業イメージの大幅ダウンはもと
より、補償問題で莫大な費用が発生する可能性もあります。義務を怠って個人情報が流出した企業に対しては、行政処分だけでなく罰則も科せられます。この場合、情報流出の責任はネットワーク管理者ではなく企業の代表者に課せられるため、企業が受ける損害は膨大です。

　個人情報漏えいによってダメージを負うのは、大企業ばかりではありません。
中規模企業でも個人情報を大量に保持しているケースは多く、刑事罰は企業規模に関わらず課せられるため、企業規模にかかわらず情報を漏えいしてしまった企業は大打撃を受けることになります。

　こうした情報漏えいを防ぐためには、業務の中のあらゆるシーンにおいて社
内の人間を厳重に管理しなければなりません。
従来、情報セキュリティは、情報システムの施設・設備などの物理的な対策が
重視されてきました。しかし、現在は人的なセキュリティ対策を含む組織全体のマネジメントが重要視されています。

　たとえばコールセンターを持っているメーカーは、個人情報が多く集まる場
所として特に注意し、入退室管理の徹底や情報記録媒体の保管ルールの明確化も必要です。また、各パソコンに情報漏えいを防止するソフトを導入したり、アクセス管理によってシステムの認証を強化するなど、やらなければならないことは数限りなく存在します。

このように、さまざまな対策が必要となる情報漏えい問題を明確化するために、
セキュリティ対策の完成度を第三者が評価する制度として、財団法人日本情報
処理開発協会の推進する「情報セキュリティマネジメントシステム（ISMS）適合性評価制度」が設置されました。

　ISMSでは、効果的な情報セキュリティマネジメントシステムを構築し、
運営・管理していくためのモデルが提供されています。その中でも特に推奨さ
れているのが「PDCAモデル」です。

企業が作成したポリシーを元に

Plan（セキュリティ対策を具体的に計画、方針の策定）
↓
Do（計画に基づいて対策の実施・運用を行う）、
↓
Check（実施した結果の監査を行う）
↓
Act（計画の見直しを行い、改善する）

というサイクルを構築することはもちろん、
無理なく継続させられるかどうかも、情報漏えいを防ぐ重要なポイントです。

　上記のISMSが提唱している「PDCAモデル」を実現し、個人情報の漏えいを防止するためには、各種の情報漏えい防止ソリューションを組み合わせて導入することが効果的です。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュ
メント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。
ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての
具体的な対策、第22回目です。

今シリーズでは、BtoB取引における統制活動を解説していますが、さて今回は、
発注管理に対する統制活動に関して解説しましょう。

発注管理は、仕入先に対して商品を注文し、購買プロセスを形成する重要な業務
です。そのため、仕入先名をはじめとして、商品の種類、数量、そして納期など
の情報を適切に管理することが要求されます。それでは、発注管理において、ど
のようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説す
ることにしましょう。

■発注管理における想定リスク

下記の4つのリスクを想定できます。
◎発注のタイミングが遅れて、納期に間に合わないリスク
◎品質の悪い商品や価格の高い商品を購入してしまうリスク
◎必要以上に商品を購入した結果、余剰を廃棄することで発生する損失リスク
◎従業員の個人利用やキックバック等、不適切な購入依頼が行われるリスク

過大な発注による過剰在庫の発生や不当に高額な商品の購入は、企業の損失に
直結します。これまでにも、過剰在庫が要因で倒産した企業も少なくありません。
また発注管理は支払いにつながる業務のため、一般的に不正などの問題が発生
する可能性が高い業務と言われています。

■発注管理における統制活動

前述のようなリスクを軽減させる統制活動として、下記の3つをあげることができます。

1：業務の分離

発注を依頼する部門と実際に発注を行う部門を分離することが重要です。
発注する商品種類や数量を購入依頼部門が決定し、それを受けて、
購買部門（管理部門）が仕入先と価格交渉を行って発注する方法です。
これにより、発注内容の妥当性が客観的に随時確認できます。
また相互牽制の効果が生まれ、不正行為の抑止にもつながります。

2：業務(人材)のローテーション

発注管理業務の担当者を一定期間でローテーションさせる方法も有効です。
仕入先との癒着防止につながります。

3：管理者による承認

発注を依頼する部門、また発注を行う部門の双方の管理者が、発注内容に
関して毎回承認することを、発注業務のプロセスに組み込むことも重要です。
管理者は、以下の2点から承認を行います。

■発注内容は妥当か（仕入先、数量、金額）
■相見積りをとるなど、適正な手続きが行われているか

4：発注情報の管理

発注情報を適切に処理するため、情報システムを有効活用して発注情報を
管理することも重要です。

■新規の発注を随時記録する
■検収時に消し込みを行う　など

つい先日も、某企業の社員によるキックバックを目的とした不正発注が
報道されました。こうした一社員の不正行為が、企業に甚大な損害をもたらすことは
明らかです。統制活動は、企業価値の維持につながる重要な基盤。
仕入先管理において、より厳格な統制活動を行っていくことが、今後
多くの企業に求められることは確実です。

さて、あなたの企業は大丈夫でしょうか。
ひとつひとつ確実に整備することで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「発注管理における統制活動」に関して解説します。
Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュ
メント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。
ただいまプレゼントが当たる、キャンペーン実施中です。