2.ITの統制の構築
経営者は、自ら設定したITの統制目標を達成するため、ITの統制を構築する必要があります。ITに対する統制活動は、「全般統制」と「業務処理統制」の二つに分けられ、「完全」かつ「正確」な情報の処理を確保するために、両者が一体となって機能することが重要となります。
(ア) ITに係る全般統制
ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動です。通常、複数の業務処理統制に関係する「方針」と「手続」をいいます。ITに係る全般統制の具体例としては、以下のような項目が挙げられます。
- ・システムの開発、保守に係る管理・システムの運用・管理
- ・内外からのアクセス管理などシステムの安全性の確保
- ・外部委託に関する契約の管理
ITを利用した情報システムにおいては、適切な内部統制(業務処理統制)を組み込めば、意図的に手を加えない限り継続して機能する性質があります。一方、その後システムの変更の段階で必要な内部統制が組み込まれない場合や、プログラムに不正な改ざんや不正なアクセスが行われた場合、当初適切な内部統制(業務処理統制)を組み込んだとしても、その有効性が保証されなくなるリスクがあります。このようなリスクの発生を未然に防ぐための体制を全般統制として整備します。具体的には以下のような対応が該当します。
① システムの開発又は変更に際して、当該システムの開発又は変更が既存のシステムと整合性を保っていることを十分に検討するとともに、開発・変更の過程等の記録を適切に保存する
② プログラムの不正な使用、改ざん等を防止するために、システムへのアクセス管理に関して適切な対策を講じる
ITに係る全般統制は、通常、業務を管理するシステムを支援するIT基盤(ハードウェア、ソフトウェア、ネットワーク等)を単位として構築することになります。例えば、購買、販売、流通の3つの業務管理システムが1つのホスト・コンピュータで集中管理されており、全て同一のIT基盤の上で稼動している場合、当該IT基盤に対する有効な全般統制を構築することにより、3つの業務に係る情報の信頼性を高めることが期待できます。
一方、3つの業務管理システムがそれぞれ異なるIT基盤の上で稼働している場合には、それぞれのIT基盤を管理する部門、運用方法等が異なっていることが考えられますので、それぞれのIT基盤ごとに全般統制を構築することが必要となります。
(イ) ITに係る業務処理統制
ITに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制をいいます。ITに係る業務処理統制の具体例としては、以下のような項目が挙げられています。
- ・ 入力情報の完全性、正確性、正当性等を確保する統制
- ・ 例外処理(エラー)の修正と再処理
- ・ マスタ・データの維持管理
- ・ システムの利用に関する認証、操作範囲の限定などアクセスの管理
業務処理統制は、手作業により実施することも可能ですが、システムに組み込むことにより、より効率的かつ正確な処理を可能とすることができます。
