2007年 11月 11日

IT統制

「財務報告に係る内部統制の評価及び監査の基準」では、内部統制の基本的要素の一つとして「ITへの対応」が指摘されています。これは「内部統制の他の基本的要素とは必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる」(*1) とされており、昨今の企業のITの利用の増大を受けたものです。トレッドウェイ委員会が公表した「内部統制の統合的枠組み(COSO)」においては基本的要素にITに関するものは明示されていませんが、「情報と伝達」という基本的要素にその意味が含まれているとされています。
ところで「ITへの対応」は
    ①IT環境への対応
    ②ITの利用及び統制
の二つに分けられます。
IT環境への対応は、「個々の業務プロセスの段階において、内部統制の他の基本的要素と一体となって評価される」ものです。一方、ITの利用及び統制は、ITの利用とITの統制に分けることができますが、これらはともに「内部統制の他の基本的要素と密接不可分の関係を有しており、これらと一体となって評価される」ものと考えられます。
IT統制は、ここでいうITの統制を指しますが、大きくはITに係る全般統制とITに係る業務処理統制に分けて考えられます。ITに係る全般統制とは、「業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関する方針と手続」(*2)をいい、「財務報告に係る内部統制の評価及び監査の基準」においては
    ・システムの開発、保守に係る管理
    ・システムの運用・管理
    ・内外からのアクセス管理などシステムの安全性の確保
    ・外部委託に関する契約の管理
が、具体例として挙げられています(*2)
他方、ITに係る業務処理統制は、「業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制」であると定義されており、具体例としては下記が挙げられています(*3)
   ・入力情報の完全性、正確性、正当性等を確保する統制
   ・例外処理(エラー)の修正と再処理
   ・マスタ・データの維持管理
   ・システムの利用に関する認証、捜査範囲の限定などアクセスの管理

 

(*1) 「財務報告に係る内部統制の評価及び監査の基準」p.7
(*2) 「財務報告に係る内部統制の評価及び監査に関する実施基準」p.19
(*3)
同 p.20

タグクラウド