今回は、IT統制における全般統制と業務処理統制ついて解説をしていきます。
IT統制は、より専門性が高い分野でもあり、なかなかイメージが難しい箇所だと思います。
しかし、ITが企業にとって当たり前となった今では、内部統制の中でも大事な統制となっています。
そんなIT統制について解説を行なっていきます!
前回の記事についても是非チェックしてみてください。
前回までのおさらい
IT統制とは、内部統制の6つの基本的要素の一つである「ITへの対応」であること(広義の意味)を前回の記事で解説しました。
さらに「ITへの対応」は、「IT環境への対応」と「ITの利用及び統制」に分解することができ、狭義の意味でのITの統制が必要となります。
業務の有効性、効率性、信頼性などといったITの統制目標を達成するために、ITの統制を構築します。
ITに対する統制活動は、全般統制と業務処理統制の二つからなり、完全かつ正確な情報の処理を確保するためには、両者が一体となって機能することが重要となります。
ITに係る全般統制とは?
■ ITに係る全般統制
ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続きをいいます。
ITに係る全般統制の具体例として以下のような項目が挙げられます。
・システムの開発、保守に係る管理 ・システムの運用・管理 ・内外からのアクセス管理などのシステムの安全性の確保 ・外部委託に関する契約の管理
ITを利用した情報システムにおいては、一旦適切な内部統制(業務処理統制)を組み込めば、意図的に手を加えない限り継続して機能する性質を有していますが、例えば、その後のシステムの変更の段階で必要な内部統制が組み込まれなかったり、プログラムに不正な改ざんや不正なアクセスが行われるなど、全般統制が有効に機能しに場合には、適切な内部統制(業務処理統制)を組み込んだとしても、その有効性が保証されなくなる可能性があります。
こうした問題に対応していくためには、例えば、
① システムの開発又は変更に際して、当該システムの開発又は変更が既存のシステムと整合性を保っていることを十分に検討するとともに、開発・変更の過程等の記録を適切に保存する
② プログラムの不正な使用、改ざん等を防止するために、システムヘのアクセス管理に関して適切な対策を講じる
など、全般的な統制活動を適切に整備することが重要となります。
ITに係る全般統制は、通常、業務を管理するシステムを支援するIT基盤(ハードウェア、ソフトウェア、ネットワーク等)を単位として構築することになります。例えば、購買、販売、流通の3つの業務管理システムが1つのホスト・コンピュータで集中管理されており、全て同一のIT基盤の上で稼動している場合、当該IT基盤に対する有効な全般統制を構築することにより、3つの業務に係る情報の信頼性を高めることが期待できます。
一方、3つの業務管理システムがそれぞれ異なるIT基盤の上で稼働している場合には、それぞれのIT基盤を管理する部門、運用方法等が異なっていることが考えられ、それぞれのIT基盤ごとに全般統制を構築することが必要となります。
ITに係る業務処理統制とは?
■ ITに係る業務処理統制
ITに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務が全てに正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制のことをいいます。
ITに係る業務処理統制の具体例としては、以下のような項目が挙げられます。
・入力情報の完全性、正確性、正当性等を確保する統制 ・例外処理(エラー)の修正と再処理 ・マスタ・データの維持管理 ・システムの利用に関する認証、操作範囲の限定などアクセスの管理
これらの業務処理統制は、手作業により実施することも可能ですが、システムに組み込むことにより、より効率的かつ正確な処理が可能となります。
ITを利用した内部統制の評価
ITを利用した内部統制の評価は、以下の流れで実施していきます。
・評価範囲の決定 ・評価単位の識別 ・整備状況及び運用状況の有効性の評価
■ 評価範囲の決定
a.業務プロセスとシステムの範囲
財務報告に係るITの評価では、まず、財務報告に係る内部統制に関連するシステムの対象範囲を明確にする必要があります。業務プロセスにおける取引の発生から集計、記帳といった会計処理の過程を確認する際に、財務諸表の重要な勘定科目がどのような業務プロセス及びシステムと関連しているか、システムの機能の概要、どの部署で利用されているか等について整理することとなります。
その際には、各業務プロセスにおいて用いる業務プロセスにおける取引の発生から集計、記帳といった会計処理の過程の整理に加えて、システム間のデータの流れ等を、必要に応じ図や表を活用して把握・整理し、また各業務プロセスで使用されているシステムの一覧を作成することが有用となります。
b.IT基盤の把握
各業務プロセスにおけるシステムの把握に加えて、それを支援するIT基盤の概要を把握します。
・ITに関与する組織の構成 ・ITに関する規程、手順書等 ・ハードウェアの構成 ・基本ソフトウェアの構成 ・ネットワークの構成 ・外部委託の状況
■ 評価単位の識別
ITに係る全般統制は、IT基盤の概要をもとに評価単位を識別し、評価を行います。
例えば、自社開発の販売、購買、物流のシステムについては、システム部が管理し、会計システムについては、経理部が市販のパッケージ・ソフトウェアを導入・管理している場合、評価単位を「システム部」と「経理部」の2つとして識別することとなります。
一方、ITに係る業務処理統制の評価は、基本的には個々のシステム毎に行う必要があり、経営者は、必要に応じ流れ図等を利用して、各システムにおける業務処理統制を識別します。
■ 整備状況及び運用状況の有効性の評価
a.ITに係る全般統制の評価
経営者は、ITに係る全般統制が、例えば、次のような点において有効に整備及び運用されているか評価する。
・システムの開発、保守 ・システムの運用・管理 ・内外からのアクセス管理などのシステムの安全性の確保 ・外部委託に関する契約の管理
内部統制の有効性の評価のうち、内部統制の運用状況の有効性の評価に当たっては、経営者は、業務処理統制の運用状況の評価とあわせて、関連する全般統制の運用状況の評価を実施するが、業務処理統制の運用状況の評価の実施範囲を拡大することにより、全般統制の運用状況の評価を実施せずに、内部統制の運用状況の有効性に関して十分な心証が得られる場合もあります。
b.ITに係る業務処理統制の評価
経営者は、識別したITに係る業務処理統制が、適切に業務プロセスに組み込まれ、運用されているかを評価する。
具体的には、例えば、次のような点について、業務処理統制が有効に整備及び運用されているかを評価します。
・人力情報の完全性、正確性、正当性等が確保されているか。 ・エラーデータの修正と再処理の機能が確保されているか。 ・マスタ・データの正確性が確保されているか。 ・システムの利用に関する認証・操作範囲の限定など適切なアクセス管理がなされているか。
c.過年度の評価結果を利用できる場合
ITを利用した内部統制の評価は、ITを利用していない内部統制と同様に原則として毎期実施する必要があります。しかし、ITを利用して自動化された内部統制に関しては、一度内部統制が設定されると、変更やエラーが発生しない限り一貫して機能するという性質があるため、経営者は、自動化された内部統制が過年度に内部統制の不備が発見されずに有効に運用されていると評価された場合、評価された時点から内部統制が変更されてないこと、障害・エラー等の不具合が発生していないこと、及び関連する全般統制の整備及び運用の状況を確認及び評価した結果、全般統制が有効に機能していると判断できる場合には、その結果を記録することで、当該評価結果を継続して利用することができます。
まとめ
いかがだったでしょうか。今回は、ITの全般統制とIT業務処理統制について解説を行いました。
個別のご質問についてはコメント欄、質問箱(https://peing.net/ja/kaikei_sodan)までよろしくお願いします!
ではでは!
コメント