
2008年4月から、金融商品取引法に基づく内部統制報告制度が開始されました。
その後5年を経て現在にいたりますが、ここで改めて内部統制について、2回に分けて整理してみたいと思います。
今回は、「IT全般統制」と「IT業務処理統制」の具体的な評価ポイントやリスク事例についてです。
✜ IT全般統制
IT全般統制とは、「業務処理統制が有効に機能するための統制活動」を指しています。
具体的には、以下に分類されます。
システムの開発・保守にかかる管理
システムの運用・管理
内外からのアクセス管理などシステムの安全性の確保
外部委託に関する契約の管理
1. ITの開発・保守にかかる管理
「ITの開発・保守にかかる管理」はさらに次の4つに分類されます。
1. -1. 開発、調達、または開発体制
1. -2. 開発手法
1. -3. 変更管理
1. -4. 移行
1. -5. 教育研修
それぞれ具体的な評価ポイントを定義し、想定されるリスクに対応していくわけです。
例えば、
「アプリケーションの企画・設計またはパッケージの選択に際しては、事前に経営者またはユーザーの承認を得ることとされているか 」
という点を評価しておくことにより、
「業務要件に合わないアプリケーションを導入してしまうことにより財務報告の信頼性が損なわれるリスク不適切なアプリケーションの調達によって、財務報告の信頼性が損なわれるリスク(たとえば、企業の会計要件に不適合なパッケージの選定等) 」
が回避できることとなります。
上記のような評価ポイントは多岐に渡りますが、今回は統制上の分類を網羅的に整理しておきます。
残りの分類を詳細化します。
2. システムの運用・管理
2. -1. 問題と事故の管理
2. -2. IT部門のオペレーション管理
3. 内外からのアクセス管理などシステムの安全性の確保
3. -1. 設備管理
3. -2. 構成管理
3. -3. データ管理
3. -4. システムセキュリティの保証(論理的セキュリティ)
4. 外部委託に関する契約の管理
4. -1. 外部委託先との契約の管理
引き続き、IT業務処理統制について、整理していきます。
✜「IT業務処理統制」
繰り返しになりますが、IT業務処理統制とは、「業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれた統制活動」と定義されます。
具体的な活動には以下のようなものがありますが、一般的これらに対する評価ポイントはお客様のシステム構成やシステム運用状況、インフラ構成に依存する部分が多いため、個別に各評価ポイントの整理を実施することがほとんどです。
入力情報の完全性、正確性、正当性等を確保する統制
例外処理(エラー)の修正と再処理
マスター・データの維持管理
システムの利用に関する認証、操作範囲の限定などアクセスの管理
評価ポイントの一例には、次のようなものが定義されます。
「内部統制管理にて、リスクコントロールの確認に足る情報(レポート)がシステムから出力可能か」
「受託業務に係わる内部統制の保証報告書に基づく外部監査に対応できるか」
内部統制対応には相応のコストが必要となります。
同じコストをかけるのであれば、極力無駄が発生しないようアプローチする必要がありますし、かつコーポレートガバナンスを効果的に向上させることができるよう、適切な統制プロセスやスコープを定義することが重要となってきます。