IT内部統制に関する基礎知識
IT統制の概要
IT内部統制とは、企業の内部統制の一つの構成要素であり、日常の業務・作業や企業の管理組織をIT(情報技術)によってモニタリング及びコントロール(統制)し、日常業務や企業の管理組織の健全性を保証する仕組みのことです。
現在の企業活動における企業経営の管理プロセスや業務手順に関して、コンピュータ・システムを除外して語ることはできなくなっています。もはや、コンピュータ・システムは企業の必要不可欠な構成要素の一つであるといっても過言ではないのです。
企業の経営管理プロセスや業務プロセスが有効に機能してているかどうかをモニタリングし、コントロールするには、やはりこのコンピュータ・システムを上手に利用・活用し、それと同時にそのコンピュータ・システム自身が、十分に管理(コントロール)されているかを監視し(モニター)して、適切に稼働するようにコントロールしていく必要があります。これが、IT統制を整備・運用する趣旨の一つと言えます。
上場企業等においては、金融商品取引法によって、財務報告の信頼性に係る内部統制について外部監査を受けることが必要となっています。これが、いわゆる、J-SOX法と呼ばれるものです。この内部統制報告制度の中で、ITへの対応という構成要素が掲げられています。
したがって、金融商品取引法が適用される上場企業等については、すでにIT統制に対して外部監査人によって整備状況、運用状況が監査の対象とされてます。
IT内部統制の分類
IT内部統制は、大きく
1:IT全般統制(「ぜんぱんとうせい」)
2:IT業務処理統制(「ぎょうむしょりとうせい」)
に分類できます。
「1:IT全般統制」は、企業のIT業務処理統制が有効に機能するためのIT基盤に係る各種のリスクに対する諸活動をさします。ITを有効に活用するためには、IT(情報システム)の企画活動、開発活動、運用活動、保守活動、そしてそれらを支える組織、制度、基盤に対する統制行為をしっかりと構築しておかなければなりません。
つまり、情報システム全体として固有に持っている各種リスクを低減するための活動がIT全般統制と言えます。したがって、IT全般統制は、会社の情報システム部などの部署が担うことが多いと言えます。
具体的な作業レベルの話になりますと、システム要件定義書や基本設計書のレビューと適切な権限者による承認、システムに備わっているユーザー認証機能、システムログの監視と管理対応、バックアップの取得と手続きなどのコントロールをさします。
一方、「2:IT業務処理統制」は、企業活動における業務の流れの中で機能する統制であり、個々の業務処理システムにおいて、データの網羅性、正確性、正当性等を自動的に確保・管理するためのコントロールをさします。例えば、業務システムにおいて、データの入力の統制、自動計算処理の統制、出力の統制により、結果が適切に処理されることをを保証するためのコントロールになります。
具体的には、企業の経理業務等をワークフローにより標準化して、
・ 二重入力のチェック機能を組み込んだり、
・ 合計値についてトータルチェックを行う機能
・ 貸付額の限度額をチェックするための照合機能
を加えたものなどをさします。
IT統制の2分類
IT全般統制
内部統制監査上では、IT全般統制は、「主要な取引、勘定残高、開示等、それらに関連する経営者の主張のほとんどに関係し、企業の自動化された業務処理統制等が、経営者の意図したとおりに整備され、継続的に運用されることを支援する仕組みや活動」と定義されています。つまり、IT全般統制に係る、ITの導入、ITインフラ管理・情報セキュリティ管理、システム運用管理などに係る業務は、システムで自動計算される処理等に、幅広く関連する特徴があると言い換えることができます。
このため、IT全般統制を構築することで、取引、勘定残高、開示等における情報の信頼性を確保し、ITに係る業務処理統制が経営者の意図したとおり整備され、継続的に運用されることを間接的に支援するといった大きなメリットを享受することができます。
IT業務処理統制
IT業務処理統制とは、従来手作業として実施していた統制(コントロール)を、コンピュータ・システムに組み込んだもの、または応用したものと言えます。そして、情報システムへの依存度の程度(情報システムがどの程度、業務でかつようされているか)によって、IT業務処理統制には、下記のカテゴリーの分類を行うことができます。
・ 自動化された業務処理統制
情報の正確性、網羅性、適時性、正当性などを確保するために、情報システム内に組み込まれた統制(コントロール)のことです。具体的には、経理システムへの入力データの正確性を確かめるために実装されたエディット・チェック機能などが挙げられます。
・ 自動化された会計処理手続
計算、分類、見積などの、従来人手で行っていた会計処理を人間に代わり情報システム自体が代替する手続きのことをさします。具体的には、経理業務で使用する会計システムにおいて、仕訳をシステムが自動処理する自動仕訳・各数値を自動的に合計する自動集計する機能です。
・ 手作業の統制に利用されるシステムから自動生成された情報
情報システムから出力された情報を利用して、人間が手作業による統制活動として実施する場合の情報のことです。したがって、情報システムへの依存と人間による作業が共存するようなイメージになります。具体的には、顧客への売上高の計算において一定の基準を超える取引の集計リスト、売掛金(債権)の滞留を確認するための年齢調べのリストなどが挙げられます。
【あわせて読みたいIT統制の関連記事】
免責事項
本記事の内容・解説は投稿時点での、内部統制に関する諸法令、システム監査基準、会社法その他の法令に基づき記載しています。また、読者が理解しやすいように平易でわかりやすい文章で解説・説明をしている箇所があります。本記事に基づく情報により実務的な検討や適用を行う場合には、必ず当該分野の専門家に相談の上行うなど、十分に内容を検討の上実施してください。当事務所との協議により実施した場合を除き、本情報の利用により損害が発生することがあっても、当事務所は一切責任を負いません。
IT統制に関する関係ページ
- システム監査に関する専門情報
- IT内部統制構築サポート・サービス(当事務所サービス)