IT統制の必要性について

企業を取り巻くIT環境は、技術革新とともに変化しており、ホストコンピュータ型の一元処理から、クライアントサーバー型の分散処理、最近ではクラウドシステムも多く普及するなど、常に適切なITを選択する必要があります。今日の内部統制の構築においては、正確な業務処理だけでなく、より効率的な働き方が推奨されているため、ITを積極的に利用している企業に優位性がある事例が多くあります。

具体的には決算・財務報告プロセスにおける「会計システム」、売上プロセスにおける「販売管理システム」、意思決定プロセスにおける「ビジネスインテリジェントシステム」など業務プロセスに直接的に関係する情報システムだけでなく、グループウェア、ネットワークなどインフラ的な機能として間接的に企業運営を支えている情報システムも広く利用され、企業の優位性確保に貢献しています。

ITが内部統制に利用される理由は、大量データを正確に迅速に処理することができるためですが、一方でブラックボックス化しやすく、また誤りがあった場合は影響が広範になるリスクも潜んでいます。

J-SOXでは、IT統制の重要性を認め効果的に利用することを求めるとともに、そのリスクも適切に評価するように求めています。またJ-SOX制度の運用の振り返りとして「監査・保証実務委員会研究報告第32号 内部統制報告制度の運用の実効性の確保について(日本公認会計士協会:2018年4月6日)」が公表され、「ITの利用および統制」について留意点が強調されています。

今回はIT統制についてお話しすることで、業務を進めるための指針となれば幸いです。

1.IT統制とは

J-SOXでは、その目的である財務報告の信頼性に対して、その目的を達成し、有効性を判断する基準として内部統制の基本的な6つの構成要素(1.統制環境、2.リスクの評価と対応、33.統制活動、4.情報と伝達、5.モニタリング(監視活動)、6.IT(情報技術)への対応)を示しています。IT統制とは、この「ITへの対応」を達成するための内部統制のことを指し、以下の3つに大別されます。

①IT全社的統制

内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること

②IT業務処理統制

業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制

③IT全般統制

業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続

2.IT全社的統制の必要性

ITの利用は、情報処理の有効性・効率性を高める効果があり、内部統制の他の基本的要素(1.統制環境、2.リスクの評価と対応、33.統制活動、4.情報と伝達、5.モニタリング(監視活動))をより有効に機能させることが出来ます。具体的には、グループウェアや社内ネットワークの利用は、組織内の情報共有の効率性を高めます。

また、債権回収条件や与信限度をシステムに組み込むことにより債権管理などのリスク管理をサポートすることも出来ます。その他、ワークフローシステムによる意思決定の迅速性、正当性の向上、ホームページの情報公開による情報伝達の効率性を向上、ネットワーク監視によるモニタリングの向上などが挙げられます。このようにIT全社的統制を利用することにより、内部統制(特に全社的な内部統制)を効率的かつ効果的に構築することが出来ます。

3.IT業務処理統制の必要性

業務プロセス内で複雑な計算や大量の作業を人間の手作業で行う場合、総数チェック、ダブルチェック、検算、承認など様々な発見的統制や補完的統制を組み合わせて内部統制を設計しますが、手作業は人間の能力に依存するリスクがあります。

一方、ITを利用した情報システムでは、一旦適切なIT業務処理統制を組み込めば、意図的に情報システムに手を加えない限り、一定の質を保ち継続して機能する性質を有していますので、手作業に比較して迅速な情報処理が期待できるだけでなく、人間の不注意による誤謬等の防止も可能となります。具体的には、入力時のエラーチェック、マスタ照合、大量の集計、承認のタイムスタンプ、データアクセス権限の制御などが挙げられます。

また、内部統制の評価及び監査の段階でも、IT業務処理統制の評価では、後述するIT全般統制の有効性を前提としますが、大量のサンプル検証をする必要がなくなり、手続きが容易になるメリットもあります。このように、業務プロセスの質、量が手作業では十分にリスクが低減できない場合には、IT業務処理統制を利用することにより、内部統制を効率的かつ効果的に構築することが出来ます。

しかし、IT業務処理統制に関するプログラムの不正な改ざんや使用等があった場合に、 プログラムに精通した者しか対応できず、またITのアウトプットには疑念を持ちにくい性質があることから不正等の適時の発見が困難になるといった問題も生じますので、IT業務処理統制に依存する際のリスクにも留意が必要です。

4.IT全般統制の必要性

前述のように、IT業務処理統制は、一旦適切に組み込めば、意図的に情報システムに手を加えない限り継続して機能する性質を有しています。しかし、業務プロセスの変更など情報システムに手を加える場合に、不正なプログラムの改ざんやデータアクセス権が付与されると、その後のIT業務処理統制は適切に機能していない可能性があります。このような情報システムに変更を加える際の手続きがIT全般統制と呼ばれます。IT全般統制の具体例としては、以下の4項目が挙げられており、それぞれの項目について内部統制を評価し、全体としてIT全般統制の有効性を判断します。

①システムの開発、保守に係る管理
②システムの運用管理
③内外からのアクセス管理などシステムの安全性の確保
④外部委託に関する契約の管理

IT全般統制の主な所管は情報システム部となり、その評価については専門的な用語の理解や製品ごとのノウハウが必要になる場面が多く、専門家の利用が有用です。

5.まとめ

IT統制はITに関する専門的な用語が多く、戸惑う部分もあるかと存じます。今回はIT統制の趣旨のみの説明となりますが、本記事が業務を進めるための参考となれば幸いです。

※記事内容は、インタビュー実施時期に基いて作成しているため、会社名・役職等にその他一部の内容が現時点と異なる場合もあることをご了承下さい。

お問い合わせ

CONTACT

代表(全国共通・フリーダイヤル)

0120-979-125 0120-979-125

受付時間 10:00 ~ 18:00
(メール・資料請求は24時間受付中)