IT統制の実施方法について

J−SOXの論点の中で、IT統制は苦手意識のある方が多い論点です。IT統制を検討するには、ITに関する専門的な用語を理解する必要があります。特にヒアリング対象がシステム部門であることから専門用語でないと会話が成り立たない場合もあり、ITに詳しい内部統制担当者でないとヒアリングさえ出来ない状況になります。

多くは社内の専門部署への依頼やIT専門家を利用するなどして対応していますが、内部統制担当者側で理解が不十分のため深い議論まで出来ず、また監査法人との関係でも言われるがまま対応するしかない状況も多くあります。また、IT統制のうちIT全般統制は、IT業務処理統制との関係で監査理論的な部分があり、理解が難しい論点でもあることがさらに苦手意識を高める要因にもなっています。

J-SOXにおけるIT統制は、「IT全社的統制」「IT業務処理統制」「IT全般統制」の3つに大別されます。今回はIT統制について、それぞれ実施方法の概要についてお話しすることで、IT統制に対する苦手意識を軽減する指針となれば幸いです。

1. ITの理解

IT統制を評価するためにまず必要なことは、「利用されているIT」を理解することです。今日の企業では、ネットワークインフラから社内ツール、開発アプリケーション、パッケージシステム、クラウドシステムなど様々な形態のITが利用されています。 最終的にJ-SOXにおける評価対象となるITは、財務報告の信頼性に関係するITだけになりますが、ITはインフラやデータ連携など相互に関係していることが多く、最初から評価対象を限定すると手戻りが発生する場合もありますので、利用されているITの全体像を把握しておくことは非常に重要です。

またそれぞれのITの性質を理解することも重要です。ITの性質を理解するとIT統制評価の際に、パッケージシステムの場合は変更リスクが高くないから高度な統制は不要、などリスク判断がしやすくなります。 以下の点を含めた「IT環境一覧表」など定形のフォームを用いて、ITの性質を一覧化しておくと非常に有用です。

・ITに関与する組織の構成(情報システム部、経理部、総務部)
・ITに関する規程、手順書等(開発、運用、保守規程)
・ハードウェアの構成(筐体、データセンター、クラウド)
・基本ソフトウェアの構成(OS、DB、Web)
・ネットワークの構成(社内、社外)
・開発形態(自社開発、外注開発、パッケージ購入)
・運用形態(オンプレ、クラウド、システム間連携、ユーザ数)
・外部委託の状況

2. IT全社的統制の実施方法

IT全社的統制は、内部統制の他の基本的要素をより有効に機能させること内部統制です【助詞が不完全なので補足下さい(本文では意図が汲み取れないため修正できませんでした)】。IT管理規程、情報セキュリティポリシーなどの規程・ルールだけでなく、社内情報共有やワークフローなどの社内ツールも含まれます。具体的な評価方法は、特に決まった方法があるわけではありませんので、主には「全社統制チェックリスト」を使用して全社的な内部統制の整備状況、運用状況の評価を行う際に、併せて評価することが多いようです。

3.IT業務処理統制の実施方法

IT業務処理統制とは、「業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制」と定義されます。IT業務処理統制は、以下に大別されます。

・ITだけで自動処理される統制活動(自動計算、データ転送、自動仕訳など)
・人とITが一体となって機能する統制活動(レポート出力、入力チェック、マスター、アクセス制限など)

IT業務処理統制の評価方法は、システムだからといって必ずしもプログラムをチェックする必要はありません。入出力データの照合(データ転送前後で件数や金額の総数検証など)や実機操作や目視(実際に入力しエラー表示やマスター呼び出し機能を確認、出力レポートとシステム画面の照合など)でも十分ですが、システム機能は多岐にわたるので、評価方法が目的に合致しているかについて監査人とも連携して検討することが必要です。

また、テスト環境で評価する場合には、評価として認められない場合がありますので、本番環境との同質性確認をすることにも留意が必要です。

IT業務処理統制は、評価時点のシステム機能を確認することになるので、システム変更が行われると機能しなくなる可能性が考えられます。そのため、後述するIT全般統制の評価と組み合わせて、評価期間を通じた有効性を評価することになります。

4.IT全般統制の実施方法

IT全般統制とは、「業務処理統制が有効に機能する環境を保証するための統制活動」と定義され、情報の信頼性を確保すること及び業務処理統制の継続的な運用を確実にすることを間接的に支援するものです。IT全般統制の有効性だけでは、財務報告の信頼性に直接は寄与しませんが、「IT全社的統制」「IT業務処理統制」の評価に対して間接的に関係します。

IT全般統制は、基本的に個々のシステム単位で実施します。理論的には、「IT全社的統制」「IT業務処理統制」の中で統制の要点に該当する内部統制を提供するシステムがIT全般統制の対象になります。しかし、統制の要点は監査法人との相談事項となることも多く、時間的制約もあることから、実務的には統制の要点に限定せず、保守的に「IT全社的統制」「IT業務処理統制」に関係するシステムを対象にすることが多いようです。

対象システムについて以下の点を個別で評価し総合的に勘案して、IT全般統制の有効性を評価します。

・システムの開発、保守(開発稟議、テスト、本番環境への移行、職務分掌)
・システムの運用、管理 (障害管理、バックアップ、自動処理)
・システムの安全性の確保(アカウント管理、権限管理、モニタリング)
・外部委託に関する契約の管理(契約、モニタリング)

5.まとめ

IT統制は、内部統制の中で重要な統制を担う場合が多く、難しい論点ではありますが、避けては通れない論点です。今回はIT統制の実施方法の概要説明となりますが、本記事が業務を進めるための参考となれば幸いです。

※記事内容は、インタビュー実施時期に基いて作成しているため、会社名・役職等にその他一部の内容が現時点と異なる場合もあることをご了承下さい。

お問い合わせ

CONTACT

代表(全国共通・フリーダイヤル)

0120-979-125 0120-979-125

受付時間 10:00 ~ 18:00
(メール・資料請求は24時間受付中)