IT統制の構築ポイント
内部統制では、会社全体に対する内部統制である「全社的な内部統制」と、財務報告に係わる業務に対する内部統制「業務プロセスに係る内部統制」の2つを考えることができます。また、内部統制においてITは極めて大きな役割を期待されておりますが、具体的にどのように係わっていくべきなのでしょうか。一般的に、「全社的な内部統制」に対応する「IT全体統制」 、「業務プロセスに係る内部統制」に対応する「IT業務処理統制」「IT全般統制」が考えられます。
「IT全体統制」とは、IT部門全体にかかわる統制活動であり、IT基本戦略、全体アーキテクチャ、ヒューマンリソース、リスク管理、モニタリングなど、企業におけるITサービス全体に関係する活動が含まれます。
「IT業務処理統制」とは、財務報告各諸表の作成に係わるシステムにおいて、「完全性」「正確性」「承認」「正当性」を担保されるチェック、自動化処理機能などが備わっているかなど、不正やミスなどリスク抑止が期待されます。
「IT全般統制」とは、財務報告各諸表の作成に係わるシステムが正当に稼動していても、それだけでは十分でなく、たとえば、プログラム開発のプロセスが正当になされているか、最新システムの維持のため適切なプログラム変更管理ができているか、さらにはハードやソフト、データのコンピュータ系の運用管理、データへのアクセスコントロールとしてのID/パスワード管理など、システム本体以外でのリスク抑止を担保する統制活動です。
また、IT統制では、計画、導入/構築、運用、評価/改善面についてアセスメントを実施し、リスクとなりそうな弱点を洗い出したうえで、それを基にIT構築、日々の運用、モニタリングをしていくことがポイントとなります。
