ここでは金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」(実施基準)での「ITへの対処」に関する事項を掘り下げます。
「Ⅰ.内部統制の基本的枠組み」では,基本的要素として「ITへの対処」を追加した理由とIT統制の考えかたを示しています。
「Ⅱ.財務報告に係る内部統制の評価及び報告」では,評価対象とするシステムの決定方法とIT統制の評価項目を示しています。
「Ⅲ.財務報告に係る内部統制の監査」では,監査人がIT統制を評価する検討項目を示しています。
なお,実施基準では「情報システム」とは「情報を処理及び伝達する仕組み」としており,ITだけでなく,手作業での処理も含むし,それを取り巻く組織や業務も含んでいます。それに対して「IT」はコンピュータ等の利用を指しています。
「IT環境への対応」と「ITの利用及び統制」
「ITへの対応」を「IT環境への対応」と「ITの利用及び統制」に区分しています。
- IT環境への対応
- 組織が活動する上で必然的に関わる内外のITの利用状況のことです。例えば次のような項目です。
- 社会及び市場におけるITの浸透度
- 組織が行う取引等におけるITの利用状況
- 組織が選択的に依拠している一連の情報システムの状況(情報システムに依拠しているかどうか、依拠している場合にどのような情報システムに依拠しているか等)
- ITを利用した情報システムの安定度
- 外部委託の状況
IT環境への対応は,個々の業務プロセスの段階において,内部統制の他の基本的要素と一体となって評価されます。
- ITの利用及び統制
- ITの利用は,他の基本的要素の有効性を確保するために必要です。
そのITの統制目標は,
・有効性及び効率性:情報が業務に対して効果的、効率的に提供されていること
・準拠性:情報が関連する法令や会計基準、社内規則等に合致して処理されていること
・信頼性(正当性、完全性、正確性):
情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること
・可用性:情報が必要とされるときに利用可能であること
・機密性:情報が正当な権限を有する者以外に利用されないように保護されていること
を高めることにあります。
ITの統制の構築として,
・IT全社的統制
・IT全般統制
・IT業務処理統制
の3つに区分しています。
IT統制の3区分
全社的統制
「経営におけるIT」を対象にしており、主に経営者に関する事項です。
財務報告に係る全社的な内部統制に関する評価項目の例として,次の事項をあげています。
- 経営者は、ITに関する適切な戦略、計画等を定めているか。
- 経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
- 経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
- ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリスクが考慮されているか。
- 経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか。
IT全般統制
ITに係る全般統制については,例えば次のような点において有効に整備及び運用されているか評価します。IT部門長が中心になり規程化することが多いでしょう。
- システムの開発,保守
- システムの運用・管理
- 内外からのアクセス管理などのシステムの安全性の確保
- 外部委託に関する契約の管理
IT業務処理統制
ITに係る業務処理統制が,適切に業務プロセスに組み込まれ有効に整備及び運用されているかを評価します。
「IT業務」は、会計システムや販売システムといった「個別システム」を指す場合と、入力でのチェック方法やデータベースのバックアップ方法のような、複数のシステムに共通する「個別プロセス」を指す場合があります。それぞれのスタッフが作成し、IT部門として規程化することが多いでしょう。
次の例をあげています。
- 入力情報の完全性、正確性、正当性等が確保されているか。
- エラーデータの修正と再処理の機能が確保されているか。
- マスタ・データの正確性が確保されているか。
- システムの利用に関する認証・操作範囲の限定など適切なアクセス管理がなされているか。