ITの統制の構築
経営者は、自ら設定したITの統制目標を達成するため、ITの統制を構築します。そして、ITに対する統制活動は、「全般統制」と「業務処理統制」の二つから構成され、完全かつ正確な情報の処理を確保するためには、両者が一体となって機能することが重要となります
a. ITに係る全般統制
ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいいます。ITに係る全般統制の具体例としては、以下のような項目が挙げられます。
- ・ システムの開発、保守に係る管理
- ・ システムの運用・管理
- ・ 内外からのアクセス管理などシステムの安全性の確保
- ・ 外部委託に関する契約の管理
ITを利用した情報システムにおいては、一旦適切な内部統制(業務処理統制)を組み込めば、意図的に手を加えない限り継続して機能する性質を有していますが、例えば、その後のシステムの変更の段階で必要な内部統制が組み込まれなかったり、プログラムに不正な改ざんや不正なアクセスが行われるなど、全般統制が有効に機能しない場合には、適切な内部統制(業務処理統制)を組み込んだとしても、その有効性が保証されなくなる可能性があります。
こうした問題に対応していくために、例えば、
① システムの開発又は変更に際して、当該システムの開発又は変更が既存のシステムと整合性を保っていることを十分に検討するとともに、開発・変更の過程等の記録を適切に保存する
② プログラムの不正な使用、改ざん等を防止するために、システムへのアクセス管理に関して適切な対策を講じる
など、全般的な統制活動を適切に整備することが重要となります。
ITに係る全般統制は、通常、業務を管理するシステムを支援するIT基盤(ハードウェア、ソフトウェア、ネットワーク等)を単位として構築することになります。例えば、購買、販売、流通の3つの業務管理システムが1つのホスト・コンピュータで集中管理されており、全て同一のIT基盤の上で稼動している場合、当該IT基盤に対する有効な全般統制を構築することにより、3つの業務に係る情報の信頼性を高めることが期待できます。
一方、3つの業務管理システムがそれぞれ異なるIT基盤の上で稼働している場合には、それぞれのIT基盤を管理する部門、運用方法等が異なる場合があるため、それぞれのIT基盤ごとに全般統制を構築することが必要となります。
b. ITに係る業務処理統制
ITに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制です。ITに係る業務処理統制の具体例としては、以下のような項目が挙げられます。
- ・ 入力情報の完全性、正確性、正当性等を確保する統制
- ・ 例外処理(エラー)の修正と再処理
- ・ マスタ・データの維持管理
- ・ システムの利用に関する認証、操作範囲の限定などアクセスの管理
これらの業務処理統制は、手作業により実施することも可能ですが、システムに組み込むことにより、より効率的かつ正確な処理が可能となるものです。
