今回は、内部統制におけるIT統制について解説をしていきます。
IT統制は、より専門性が高い分野でもあり、なかなかイメージが難しい箇所だと思います。
しかし、ITが企業にとって当たり前となった今では、内部統制の中でも大事な統制となっています。
そんなIT統制について解説を行なっていきます!
前回の記事についても是非チェックしてみてください。
IT統制とは?
以前の記事で「内部統制とは?」について解説しました。
その中で、内部統制には、6つの基本的要素があり、その一つに「ITへの対応」があることを解説しました。
内部統制の6つの基本的要素 ・統制環境 ・リスクの評価と対応 ・統制活動 ・情報と伝達 ・モニタリング(監視活動) ・IT(情報技術)への対応
「ITへの対応」とは、組織目標を達成するために予め適切な方針及び手続きを定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいいます。
⇨つまり、”業務を思い通りに行う”、”財務報告を間違いなく行う”、などの組織の目標のために(内外含む)ITに関する方針や手続きを定め、適切に対応していくことを意味しています。
広義の意味でIT統制とはこの「ITへの対応」のことを意味しており、これがITの全社統制を意味しています。
ITへの対応
「ITへの対応」は、「IT環境への対応」と「ITの利用及び統制」から構成されています。
① IT環境への対応
IT環境とは、組織が活動する上で必然的に係る内外のITの利用状況のことであり、社会及び市場におけるITの浸透度、組織が行う取引等におけるITの利用状況、及び組織が選択的に依拠している一連の情報システムの状況等をいいます。IT環境に対しては、組織目標を達成するために、組織の管理が及ぶ範囲において予め適切な方針と手続を定め、それを踏まえた適切な対応を行う必要があります。
組織が理解すべきIT環境の具体例として、以下の項目が挙げられます。
・社会及び市場におけるITの浸透度 ・組織が行う取引等におけるITの利用状況 ・組織が選択的に依拠している一連の情報システムの状況 ・ITを使用した情報システムの安定度 ・ITに係る外部委託の状況
② ITの利用及び統制
ITの利用及び統制とは、組織内において、内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること、並びに組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させることをいいます。
ITの利用及び統制は、内部統制の他の基本的要素と密接不可分の関係を有しており、これらと一体となって評価されます。また、ITの利用及び統制は、導入されているITの利便性とともにその脆弱性及び業務に与える影響の重要性等を十分に勘案した上で、評価されることになります。
(ITの利用)
ITには、情報処理の有効性、効率性等を高める効果があり、これを内部統制に利用することにより、より有効かつ効率的な内部統制の構築を可能とすることができます。具体例としては以下の通りです。
イ.統制環境 統制環境のうちITに関連する事項としては、例えば、次のものが挙げられます。 (ア) 経営者のITに対する関心、考え方 (イ) ITに関する戦略、計画、予算等の策定及び体制の整備 (ウ) 組織の構成員のITに関する基本的な知識や活用する能力 (エ) ITに係る教育、研修に関する方針 また、ITの利用は、統制環境の整備及び運用を効率的に行っていく上でも重要となります。例えば、電子メールといったITを利用することは、経営者の意向、組織の基本的方針や決定事項等を組織の適切な者に適時に伝達することを可能にし、統制環境の整備及び運用を支援することになるためです。 ロ.リスクの評価と対応の有効性 組織内外の事象を認識する手段として、またリスク情報を共有する手段としてITを利用することにより、リスクの評価と対応をより有効かつ効率的に機能させることが可能となります。例えば、販売管理部門又は経理部門において、売掛債権の発生や回収を適時に把握し、回収が滞っている売掛債権について別途の管理をする仕組みをITを利用して構築しておくことにより、適切な売掛債権の管理を有効かつ効率的に行うことが可能となります。 ハ.統制活動 ITを利用した統制活動を、適切に設計して業務プロセスに組み込むことにより、統制活動の自動化が可能となります。例えば、適切な生産管理システムを開発し、その中に棚卸の検証プログラムを組み込んでおき、製造部門が製造指図書のデータに従って在庫原材料の出庫数量を入力する手続や倉庫係が日々の原材料の実在庫データを入力する手続等を業務プロセスに組み込むことにより、瞬時に帳簿在庫と実在庫の差を把握し、問題の発見に役立てることが考えられます。 統制活動が自動化されている場合、手作業による統制活動に比べて迅速な情報処理が期待できるほか、人間の不注意による誤謬等の防止も可能となり、結果として、内部統制の評価及び監査の段階における手続の実施も容易なものとなる。一方で、統制活動が自動化されているとプログラムの不正な改ざんや不正な使用等があった場合に、プログラムに精通した者しか対応できず、不正等の適時の発見が困難になるといった問題点も考えられ、適切なアクセス管理等の措置を講じておくことにつき留意する必要があります。 ニ.情報と伝達 ITの利用により、組織内部での情報伝達の手段を効果的に業務プロセスに組み込むことも可能となります。ITを利用した情報システム、特にネットワークが使われている場合には、例えば、必要な承認や作業完了が一定期間に実施されないと、その旨が担当者の上司に伝達される機能など、業務管理に必要な情報の伝達を、業務プロセスに組み込むこともできます。 ホームページ上でメッセージの掲載などITを利用することにより、組織外部に向けた報告を適時に行うことが可能となるとともに、ITを利用して、自社製品へのクレーム情報等を外部から収集したりすることも可能です。ただし、組織外部への情報の公開及び情報の収集にITを利用する場合には、特に外部からの不正な侵入等に対して適切な防止措置を講じるなどの留意が必要となります。 ホ.モニタリング 統制活動の有効性に関する日常的モニタリングは、日常の業務活動を管理するシステムに組み込み自動化することで、より網羅的に実施することが可能となります。その結果、独立的評価に当たってリスクを低く見積もることができるため、独立的評価の頻度を低くしたり、投入する人員を少なくすることも可能となります。
(ITの統制)
ITの統制とは、ITを取り入れた情報システムに関する統制のことであり、自動化された統制に加え、手作業を含む統制も含まれます。
ITの統制を有効なものとするために経営者が設定する目標を、ITの統制目標と呼びます。ITの統制目標としては、例えば、次のものが挙げられます。
a.有効性及び効率性 :情報が業務に対して効果的、効率的に提供されていること b.準拠性 :情報が関連する法令や会計基準、社内規則等に合致して処理されていること c.信頼性 :情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること (正当性、完全性、正確性) d.可用性 :情報が必要とされるときに利用可能であること e.機密性 :情報が正当な権限を有する者以外に利用されないように保護されていること
これらのITの統制目標を達成するために、ITの統制を構築します。
ITに対する統制活動は、全般統制と業務処理統制の二つからなり、完全かつ正確な情報の処理を確保するためには、両者が一体となって機能することが重要となります。
こちらは、狭義の意味でのIT統制を意味しています。実際の業務に組み込まれ、組織目標を達成するために機能している統制のためのITのことです。
IT利用における内部統制での問題点
以上のとおり、内部統制にITを利用することにより、より有効かつ効率的な内部統制の構築が期待できる反面、ITを高度に取り入れた情報システムは、手作業による情報システムと異なり、稼動後の大幅な手続の修正が困難であるとの問題があります。
また、システムの仕様によっては、ITを利用して実施した手続や情報の変更等が適切に記録されないことがあり、そのような場合には、事後の検証が困難となるとの問題が生じる可能性があります。
したがって、内部統制の整備及び運用に当たっては、ITを利用した情報システムの特性を十分に理解し、予め計画的に準備を進めるとともに、適切な事後の検証方法等について検討しておく必要があるのです。
まとめ
いかがだったでしょうか。今回は、IT統制の概要について解説しました。
次回は、より詳細なITの全般統制とIT業務処理統制について解説を行なっていきます。
個別のご質問についてはコメント欄、質問箱(https://peing.net/ja/kaikei_sodan)までよろしくお願いします!
ではでは!
コメント