内部統制でのITへの対処(IT統制)<金融商品取引法と内部統制<法規・基準<Web教材<木暮

Web教材一覧法規・基準金融商品取引法と内部統制

内部統制でのITへの対処(IT統制)


ここでは金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」(実施基準)での「ITへの対処」に関する事項を掘り下げます。
 「Ⅰ.内部統制の基本的枠組み」では,基本的要素として「ITへの対処」を追加した理由とIT統制の考えかたを示しています。
 「Ⅱ.財務報告に係る内部統制の評価及び報告」では,評価対象とするシステムの決定方法とIT統制の評価項目を示しています。
 「Ⅲ.財務報告に係る内部統制の監査」では,監査人がIT統制を評価する検討項目を示しています。
 なお,実施基準では「情報システム」とは「情報を処理及び伝達する仕組み」としており,ITだけでなく,手作業での処理も含むし,それを取り巻く組織や業務も含んでいます。それに対して「IT」はコンピュータ等の利用を指しています。

「IT環境への対応」と「ITの利用及び統制」

「ITへの対応」を「IT環境への対応」と「ITの利用及び統制」に区分しています。

IT環境への対応
組織が活動する上で必然的に関わる内外のITの利用状況のことです。例えば次のような項目です。
  • 社会及び市場におけるITの浸透度
  • 組織が行う取引等におけるITの利用状況
  • 組織が選択的に依拠している一連の情報システムの状況(情報システムに依拠しているかどうか、依拠している場合にどのような情報システムに依拠しているか等)
  • ITを利用した情報システムの安定度
  • 外部委託の状況
IT環境への対応は,個々の業務プロセスの段階において,内部統制の他の基本的要素と一体となって評価されます。
ITの利用及び統制
ITの利用は,他の基本的要素の有効性を確保するために必要です。
そのITの統制目標は,
 ・有効性及び効率性:情報が業務に対して効果的、効率的に提供されていること
 ・準拠性:情報が関連する法令や会計基準、社内規則等に合致して処理されていること
 ・信頼性(正当性、完全性、正確性):
   情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること
 ・可用性:情報が必要とされるときに利用可能であること
 ・機密性:情報が正当な権限を有する者以外に利用されないように保護されていること
を高めることにあります。
ITの統制の構築として,
 ・IT全社的統制
 ・IT全般統制
 ・IT業務処理統制
の3つに区分しています。

IT統制の3区分

全社的統制

「経営におけるIT」を対象にしており、主に経営者に関する事項です。
財務報告に係る全社的な内部統制に関する評価項目の例として,次の事項をあげています。

IT全般統制

ITに係る全般統制については,例えば次のような点において有効に整備及び運用されているか評価します。IT部門長が中心になり規程化することが多いでしょう。

IT業務処理統制

ITに係る業務処理統制が,適切に業務プロセスに組み込まれ有効に整備及び運用されているかを評価します。
 「IT業務」は、会計システムや販売システムといった「個別システム」を指す場合と、入力でのチェック方法やデータベースのバックアップ方法のような、複数のシステムに共通する「個別プロセス」を指す場合があります。それぞれのスタッフが作成し、IT部門として規程化することが多いでしょう。
 次の例をあげています。