法律文化　management frontier 6

1．内部統制におけるIT統制について

内部統制におけるIT統制は、財務報告の信頼性を確保するための、統制のひとつであり、会計上の取引記録の正当性、完全性、および正確性を確保するためのものである。経営者は、重要な虚偽記載が発生するリスクおよびこれを低減するための統制を把握することが要請され、ITの統制についてもむろん注力が必要である。

IT統制を構築した場合、その整備、運用、評価を行うにあたり、業務プロセスの評価と同様に、まずはいつ時点までに何を実施するのかマイル・ストーンを作成する。それを実施するために、情報システム部門内の各担当からメンバーを選任して、IT統制を推進するワーキンググループを組成し、改善策の検討から実施に至る各種作業の調整、整備、評価に責任を持つ体制をつくる。そして、実施計画にて、システム構成図、関連規程図、職務分掌等の資料を基にシステムの環境の現状を把握するとともに、必要に応じて資料で足りない部分については、関係者へのヒアリングを実施することにより補足を行う。

2．IT全般統制とIT業務処理統制について

ITの統制は、以下の通りIT全般統制とIT業務処理統制に大別される。

【1】

IT全般統制
IT全般統制（ITGC: IT General Control）とは、内部統制の対象である個々の業務処理を行うアプリケーションが動作する基盤であるITシステム全般、特にそのインフラストラクチャーが、内部統制の目的に沿って機能し、それを阻害しないことを担保するための統制活動である。
つまり、個別の業務処理のためのアプリケーションシステムは企業の中に複数存在するため、それらはデータの共有やネットワーク通信のように相互に連携して動いている。また、データのバックアップやログの保全といったアプリケーションに共通する機能を横断的に配置し運営することも必要である。
このような個別業務処理と、そのためのアプリケーションの共通基盤であるITインフラ部分の統制を担うのがIT全般統制である。そのため、IT業務処理統制が機能するためには、システム企画、開発、運用管理、セキュリティ管理といったIT全般統制が適切に実施されている必要がある。

【2】

IT業務処理統制
IT業務処理統制とは、業務を処理し、業務データを取り扱うシステムにおいて、承認された業務がすべて正確に処理、記録されていることを確保するために、業務プロセスならびに業務アプリケーションに組み込まれた統制のことである。具体的には、入力情報の完全性、正確性、正当性等を確保する統制や、例外処理の修正と再処理や、マスター・データの維持管理、システムの利用に関する認証、操作範囲の限定などアクセスの管理等が挙げられる。

ITによる統制の関係

※手作業による統制（マニュアル統制）とIT業務システムに組み込まれた自動化された統制(AC:Application)の両者の混合をIT依存マニュアル統制という。

3．IT統制についての評価

業務プロセスとシステムの範囲の明確化を行い、IT基盤の概要を把握し評価範囲を絞り組んでいく。その際、まずは、(1)財務諸表の重要な勘定科目がそのような各業務プロセス及びシステムとどのように関連しているか、(2)システムの機能の概要、(3)どのような部署で利用されているか等について整理する。

業務プロセスの取引の発生から集計、記帳など会計処理のプロセスを確認する際に、フローチャートなどを利用して、データの流れを把握、整理するとともに、使用されているシステムの概要を作成する。つまり、各業務プロセスを支援するIT基盤の概要を把握し、ITを利用した内部統制を評価するにあたり、財務諸表の重要な勘定科目と関連する業務プロセスに準じて、対象システムを特定するのである。したがって、評価する対象システムについて、大規模なシステム変更が予定されている場合は、あらかじめ監査人と協議を行っておくことが必要である。

IT全般統制の評価例として実施基準Ⅰ.2.(6) (2)では、(1)システムの開発、保守、(2)システムの運用・管理、(3)内外からのアクセス管理などシステムの安全性の確保、(4)外部委託に関する契約の管理を例示している。他方、IT業務処理統制の評価例としては、(1)入力情報の完全性、正確性、正当性等が確保されているか、(2)エラーデータの修正と再処理の機能が確保されているか、(3)マスター・データの正確性は確保されているか、(4)システムの利用に関する認証・操作範囲の限定など適切なアクセス管理がなされているかなどを挙げている。

IT全般統制において、とりわけ重要なプログラム登録管理とアクセス権管理の評価があるが、これらに不備があった場合は、IT業務処理統制に非常に大きな影響を及ぼすと想定される。そのため、まずはIT全般統制の評価をIT業務処理統制に先立ち評価することが望ましい。

4．評価結果として不備が生じた場合

【1】

IT全般統制に不備がある場合
評価を行った結果、IT全般統制に不備がある場合は、代替的・補完的な他の内部統制システムによって、財務報告の信頼性が達成できているか否かを検討する。
IT全般統制の不備は、財務報告の重要な事項に虚偽記載が発生するリスクにダイレクトにつながる可能性は少ないため、直ちに重要な欠陥と評価されるものではない。しかし、IT全般統制は、IT業務処理統制の基盤となっているものであり、いくら個々の業務アプリケーションにおいてIT業務処理統制が有効に機能していたとしても、それに関連するIT全般統制に、問題がある場合には（例えば商品価格マスター・データへのアクセス制限の不備など）、この業務処理統制は有効に機能しないことになる。
IT全般統制に不備がある場合、その不備の程度ならびにIT業務処理統制に与える影響を勘案し、IT業務処理統制の運用状況評価手続を計画する必要がある。つまり、IT全般統制の不備の程度、IT業務処理統制に与える影響を勘案し、IT業務処理統制の運用状況評価に対する十分な心証形成ができるように、サンプル件数、テスト対象期間、ロールフォワード手続等を決定していく必要がある。
しかし、IT全般統制の評価結果が有効であれば、それを前提にIT業務処理統制のサンプル数は必要最低限の数で運用状況の評価の検討を実施できる。それはIT業務処理統制のうち、自動化された統制は、一度適切な業務処理統制を組み込めば、意図的に手を加えない限り、継続して機能する性質を有しているからである。

【2】

IT業務処理統制に不備がある場合
業務プロセスに係る内部統制に不備がある場合と同様に、影響度と発生可能性を検討する。また、人手による統制とITによる自動化された統制が、一体となって機能する統制活動に不備があった場合、経営者は不備の内容が、人手に関する部分から生じているものなのか、それともITに関する部分から生じているものなのか識別をする必要がある。すなわち、自動化された統制であれば、継続的に同じ不備が生じる可能性が大きいからである。

IT統制における不備を是正するためには、一般的に時間を要するものであるため、早期に対応が望まれるところである。そもそも日本版SOX適用以前に多くの企業では、個人情報保護法の施行を契機として、情報漏洩対策を中心にセキュリティ強化を図っている。このセキュリティ対策も内部統制も、一度構築したからよいというものではなく、毎年、継続してさらに改善を行い、さらに進化し続けなければならないものである。

プライバシーマークやISMSにより情報セキュリティに関わるマネジメントシステムも定着しつつあるが、PDCAサイクルの中で、そのレベルが継続的に改善されることが望まれる。内部統制の見直しをきっかけに、適切な情報管理と組織戦略に添った情報伝達、付加価値向上の仕組みについて再構築を行い、ビジネスプロセスを支え、それを実現するためにIT活用をセキュリティの観点からも捉え直すことも有益であろう。

森田弥生（もりた　やよい）

公認内部監査人（CIA）／公認不正検査士（CFE）／法学修士

2000年中央大学大学院法学研究科卒業。新日本監査法人にて大手企業における SOX法対応および金融商品取引法対応に従事。経済産業省委託調査「情報セキュリティ市場調査」WGメンバー（2007年～現在）。著書・論文に『内部統制の要点Q&A構築・評価・監査の実務』（金融財政事情研究会・2007）、「会社法務A2Z　特集経営者による内部統制の評価」（第一法規株式会社・ 2008）他。「日本版SOXへ挑め！　－内部統制活用術－」（六本木ヒルズ・ライブラリートーク講演2008）他。