もともとSAPは内部統制機能をもっていてコントロールなど組込ができていた。全社レベルでのリスクマネジメント体制の実現を支援するGRC(ガバナンス、リスク、コンプライアンス)ソフトの一つとして位置付けている。Fraud Managementはインメモリーデータベース「HANA」を利用しており、「データの全件チェックを高速にできるのが特徴」らしい。最近インメモリー処理がビッグデータ処理でもはやっているが、高速に大量のデータを処理するには必要な環境だろう。
実際SOX法が実施されて不正コントロールができていると思われているが、SOX法はあくまでも財務諸表が正しくできているかと言う視点でしか統制を効かせていない。その為データが存在してそのまま問題無く処理されていれば、それは正しいという判断になる。これは会計士も問題でもコンピュータの問題でもない。入力されたデータの取引自体に問題があったかどうかの判断ができないからである。
それを検証するために、データの質を検証するとした。データの質とは例えば新しい取引先からの仕入が多くなった。動いて居なかった口座がよく使われるようになった。またこれに関連して承認手続きがいつも同じルートでなされている。特定の人物が承認している。など、その取引データがどのように生成されているかを分析する。
これらの設定はユーザー独自でやる事ができるそうだ。と言ってここまでやっても、なかなかコントロール出来ないのが、取締役など経営層トップの不正である。記憶に新しいオリンパスの件にしても監査法人の指摘にかかわらず問題無いとする体質そもののコンプライアンス違反がある。ただ資金が動くことがあれば、追っかける事が可能なので、第三者としての社外取締役、監査役(名ばかりで無い)が、統制上の閾値設定などの積極的に関与するべきだろう。
0 件のコメント:
コメントを投稿