ITに係る内部統制は、全社的な内部統制、決算・財務報告プロセスに係る内部統制、および業務プロセスに係る内部統制を補完して、その有効性を高める役割を果たします。
内部統制の整備にITを利用している場合は、「IT全社統制」「IT全般統制」「IT業務処理統制」についても評価する必要があります。
この記事では、IT統制の分類のひとつである「IT全社統制」について簡単にまとめました。
※内部統制基準=「財務報告に係る内部統制の評価及び監査の基準」
※実施基準=「財務報告に係る内部統制の評価及び監査に関する実施基準」
※追補版=「システム管理基準 追補版」
IT全社統制とは
IT全社統制とは、企業グループ全体にわたり有効なIT統制環境を確保するための仕組みのことです。
IT全社統制は、ITに関連する方針や手続き、計画や戦略、情報システムそのものなど、企業グループ全体の情報システムに対する統制です。
なお、IT統制を含めた内部統制は、組織戦略の見直しやITツールの進歩、法規制の改廃等、企業が置かれた環境に変化があればそれに合わせて改めていくことが重要です。
IT全社統制、IT全般統制、IT業務処理統制の関係
ITに係る内部統制は、「IT全社統制」「IT全般統制」「IT業務処理統制」の3つに大別されます。
IT業務処理統制は直接財務報告の信頼性に影響を与えるものであり、IT全般統制は継続的にIT業務処理統制の有効性を確保するためのものです。
IT全社統制はそれらの基盤となるため、IT業務処理統制とIT全般統制が有効であると評価されるには、IT全社統制が有効である必要があります。
全社的な内部統制との関係
IT全社統制は、内部統制の基本的要素と密接に関連しているため、全社的な内部統制の一部として位置づけられています。
IT全社統制では、経営計画や経営戦略などの組織の方針に適合するように、IT戦略やIT施策の基礎を整えます。
一方、日常的なIT業務に用いられるIT技術の進歩等、ITを取り巻く環境の変化をIT全社統制に取り込むことにより、IT業務処理統制やIT全般統制が、IT全社統制を通して組織経営に影響を与える場合もあります。
「財務報告に係る全社的な内部統制に関する評価項目の例」との関係
実施基準で例示されている「財務報告に係る全社的な内部統制に関する評価項目の例」のうち、「ITへの対応」には次の5つの項目が挙げられています。
●経営者は、ITに関する適切な戦略、計画等を定めているか。
中期経営計画や年間計画の策定の際に、IT戦略もあわせて立案され、関連部門に周知されていることが重要です。
(具体例)
- 中期経営計画や情報セキュリティ等に企業としてのITに対する方針が含まれている
- システム委員会を設置している
- これらの仕組みを明文化した「情報セキュリティ規程」「情報システム管理規程」等が制定されている
- 「予算管理規程」においてIT計画を取り込んだ予算体系となっている
●経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
ITを適切に利用するには、ITを取り巻く社内外の環境を理解し、ITの整備・運用方針を立て、または定期的に見直され、周知される必要があります。
●経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
ITを利用した統制について、以下のような特徴を理解したうえで、適切に業務プロセスに取り込むことができているかを判断しなければなりません。
- 定型的な処理を迅速に行うことができる
- ITを利用した自動化により、手作業のミスを軽減できる
- 設定された処理が繰り返される
- ネットワークの利用により、遠隔地の作業を一元管理できる
- 取引記録を電子データとして保存できるため、省スペースおよび再利用できる
●ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリスクが考慮されているか。
ITを利用した統制には前述のような特徴(メリット)がありますが、その反面、ITの利用により新たに発生する以下のようなリスクがあります。
IT全般統制では、それらのリスクを理解する必要があります。
また、そのリスクの検討を定める規程・マニュアルが整備されていることが重要です。
- 処理の経過がブラックボックスになりがちで、誤った処理に気付きにくい
- 設定された処理が繰り返されるため、設定に誤りがあれば、処理の誤りも繰り返される
- 非定型的な処理には利用できない
- 取引記録を保存した電子データを改ざんされるおそれがあり、また、改ざんに気付きにくい
- ネットワークを利用する遠隔の作業者の状況が見えにくい
- 電子データは移動やコピーが容易く、それらが不正に行われても気付きにくい
●経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか。
ITの利用で新たに発生するリスクを軽減するためにも、ITを利用する際の方針などについて、あらかじめ定めておく必要があります。
方針としては、たとえば「セキュリティ方針」「システム管理方針」「バックアップ方針」「システム変更時の手続方針」等があります。
このような方針の策定については、システムの用途、利用者の範囲、システムで作成されるデータの重要性、システム基盤、システム構築手法、システム管理主体等、システムの特性を踏まえて定めていきます。
IT全社統制の評価
IT全社統制の評価では、経営者レベルでIT戦略の重要性が意識され、方針が定められていることがポイントです。
前述のとおり、IT全社統制は全社的な内部統制の一部として位置づけられているため、評価範囲は全社的な内部統制と同じになります。
評価方法も全社的な内部統制と同様に、チェックリストを利用し、ヒアリングや記録の閲覧等によって整備・運用状況を評価します。
なお、IT全社統制の評価では、内部牽制のため、社内のシステム部門と、仕訳作成など直接財務情報を処理する経理部門と切り分けておくことが重要です。
IT全社統制の不備
前述のように、IT全社統制は、企業グループ全体にわたって有効に機能するIT環境を確保するための仕組みであるため、IT全社統制に不備がある場合は、IT全般統制やIT業務処理統制の有効性に影響します。
IT全社統制の不備の存在が財務報告の虚偽記載に直接つながるわけではありません。
しかし、IT全社統制の不備がIT全般統制の有効性に影響を与え、その結果発生したIT業務処理統制の不備が、「開示すべき重要な不備」とみなされる場合もあり得ます。
「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(平成19年3月30日版)
「システム管理基準 追補版」は、経済産業省が策定した「システム管理基準」(平成30年4月2日版)等や、財務報告に係る内部統制報告制度を念頭に、主要なケースを想定しつつ、IT統制に関する概念、経営者評価、導入ガイダンス等を提供しています。
追補版は、IT統制について内部統制基準や実施基準よりも具体的な対応例を示していますので、参考になると思われます。
追補版では、IT統制を以下のように分類しており、全社に共通する事項をIT全社的統制として説明しています。
●IT全社的統制
企業の統制が全体として有効に機能する環境を保証するためのITに関連する方針と手続等、情報システムを含む内部統制をいいます。
連結グループ全体としての統制を前提としますが、各社、事業拠点ごとの全体的な内部統制をさす場合もあります。
●IT全般統制
業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理に関係する方針と手続のうち、IT基盤を単位として構築する内部統制をいいます。
●IT業務処理統制
業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを担保するために業務プロセスに組み込まれたITに係る内部統制をいいます。
追補版では、IT全社的統制について、内部統制の6つの基本的要素との整合を以下のように記しています。
●統制環境…IT に関する基本方針の作成と明示
IT利用とIT統制のための基本方針の明示は、経営者の理念を伝えるものであり、この方針にしたがって、利用や統制活動を行う環境を整備します。
●リスクの評価と対応…ITに関するリスクの評価と対応
ITは利用者に対し業務処理の効率化・有効化をもたらしますが、管理しなければ企業価値に影響を与えるほどの潜在的な脆弱性を持つことになります。
リスク管理部門等は、事業推進に影響を与えないように、全社的統制の立場から適正なリスクの洗い出しと評価を行い、対応策を検討します。
●統制活動…統制手続の整備と周知
経営者は、IT統制の整備を行い、その基本方針を策定して周知します。
●情報と伝達…情報伝達の体制と仕組の整備
経営者の方針や指示は、適正な手段で関係者に伝えられなければなりませんが、伝達手段は技術の進歩に合わせて見直しを図る必要があります。
●モニタリング…全社的な実施状況の確認
経営者は計画や統制の有効性に対して、実施部門及び内部の監査部門からの報告を通して、確認・評価作業を行います。
その場合に、統制等の実施状況のモニタリングにおいて効率性と有効性を高めるためには、ITの利用が望まれます。
