ITに係る内部統制は、全社的な内部統制、決算・財務報告プロセスに係る内部統制、および業務プロセスに係る内部統制を補完して、その有効性を高める役割を果たします。
内部統制の整備にITを利用している場合は、「IT全社統制」「IT全般統制」「IT業務処理統制」についても評価する必要があります。
この記事では、IT統制の分類のひとつである「IT全般統制」について簡単にまとめました。
※内部統制基準=「財務報告に係る内部統制の評価及び監査の基準」
※実施基準=「財務報告に係る内部統制の評価及び監査に関する実施基準」
IT全般統制とは
実施基準では、IT全般統制について以下のように記しています。
ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。
IT業務処理統制は、システムへ情報を正確に入力するためのディジットチェックのような統制や、ITを利用して適切な者が承認手続を行う統制のように、財務報告に影響するシステムの入力・処理・出力を、その都度適正に行うための統制です。
IT業務処理統制は、一旦システムに適切に設定されれば、それが変更されない限り、有効に機能し続け、これがIT利用の特徴でもあります。
しかし、必要なIT全般統制が組み込まれていなかったり、不正や誤りでシステム設定を不適切な状態に変更されてしまうと、IT業務処理統制の有効性が保証されなくなってしまいます。
IT全般統制は、そうならないように、IT業務処理統制の適正な設定を継続させるための統制で、通常は複数のIT業務処理統制に関係する方針と手続きをいいます。
たとえば、承認権限が設定されたIDとパスワードで経理部長が会計システムにログインして仕訳伝票の内容を確認・承認する等がIT業務処理統制のひとつとしてあります。
そして、適切な者(この例の場合は経理部長)のみに仕訳伝票の承認権限を有するID・パスワードが付与されるような手続きを設けることで、仕訳伝票の正確性等を継続的に保つ統制がIT全般統制にあたります。
IT全般統制の具体例
IT全般統制の目的を平たくいえば、「IT業務処理統制を守ること」と「蓄積されたデータを守ること」に集約されます。
実施基準ではIT全般統制の具体例として以下のものを挙げており、これらの点においてIT全般統制の有効性を評価します。
- システムの開発、保守に係る管理:システムの開発・調達、IT基盤の構築、変更管理、テスト、開発・保守に関する手続きの策定と保守など
- システムの運用・管理:運用管理、構成管理(ソフトウェアとIT基盤の保守)、データ管理など
- 内外からのアクセス管理などシステムの安全性の確保:情報セキュリティーフレームワーク、アクセス管理などのセキュリティー対策、情報セキュリティーインシデント(事故)の管理など
- 外部委託に関する契約の管理:外部委託先とのサービスレベルの定義と管理など
※IT全般統制の具体例については後日別の記事で詳述します。
これらの統制は、財務報告の信頼性において重要な影響を与える取引や勘定科目、開示等に関連するアサーションと関係しており、ITにより自動化された業務プロセスに係る統制である業務処理統制の整備・運用を支援しています。
全社的な内部統制との関係
実施基準では、全社的な内部統制の整備・運用の評価ポイントとして、42項目の「財務報告に係る全社的な内部統制に関する評価項目の例」を挙げています。
この中で、IT全般統制に関しては以下の項目があります。
経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか。
上記のIT全統統制の例にあるシステムへのアクセス管理やバックアップ管理、システム変更等について、「情報セキュリティ規程」のような明文化したルールを定める必要があります。
IT業務処理統制および業務プロセスに係る内部統制との関係
IT全般統制の有効性は、IT業務処理統制において継続的な有効性が支援されていることを意味します。
そのため、IT全般統制が有効であると評価されれば、業務プロセスに係る内部統制の評価手続きにおいて、サンプル件数を減らしたり、サンプルの対象期間を短くすることも検討が可能です。
また逆に、実施基準では、業務処理統制の運用状況の評価範囲を拡大することで、IT全般統制の運用状況評価を実施せずに、内部統制の運用状況の有効性の評価を得られる場合もある、としています。
いずれにせよ、IT全般統制の有効性は、運用状況評価の作業負荷に影響を与えます。
ただし、IT全般統制が有効に機能していると評価されたとしても、それだけでIT業務処理統制も有効に機能しているとは安易に結論付けられないことに留意が必要です。
IT全般統制の構築および評価
IT全般統制は、業務プロセスに係る内部統制と同様に、対象となる業務プロセスに存在するリスクを低減するコントロールを明確にするため、基本的には3点セット(業務記述書、フローチャート、リスクコントロールマトリクス)を作成することになります。
評価手順においても、業務プロセスに係る内部統制の評価と変わらず、文書化により対象となる業務プロセスを理解してうえで、整備・運用状況の有効性を評価します。
IT全般統制の評価範囲および評価単位
IT全般統制は、業務を管理するシステムを支援するIT基盤(ハードウェア、ソフトウェア、ネットワーク等)ごとに構築し、または評価を実施することになります。
評価対象とするシステムの把握
評価対象とするシステムとして、財務報告に係るIT業務処理統制を実行しているシステムを検討することになります。
なぜなら、IT業務処理統制は財務報告の虚偽記載リスクに直接影響を与えるからです。
評価対象として選定された業務プロセス内のIT業務処理統制に関連するシステムを3点セット等を利用して把握します。
一般的には会計システムおよび会計システムにデータを引き渡すシステム(販売管理システム、購買管理システム等)が評価対象に該当すると考えられます。
すべてのシステムを評価対象にすると構築や評価作業の負担が膨大になるため、財務報告の信頼性の確保をどのIT業務処理統制に係るシステムが行っているのかを見極める必要があります。
IT基盤の概要の把握
業務プロセスにかかわるシステムの状況とともに、以下のようなIT基盤の概要を把握する必要があります。
- ITに関する組織の構成
- ITに関する規程、手順書など
- ハードウェアの構成
- 基本ソフトウェアの構成
- 外部委託の状況
- ネットワークの構成
評価単位決定の検討事項
IT全般統制の評価単位の検討の際、以下のような場合には評価単位を分けることを考慮に入れます。
- 開発手続や変更管理手続が異なるシステム
- システム運用の担当部署が異なるシステム
- システム運用に係るサーバ等の機器の設置場所が分かれているシステム
- 情報セキュリティー方針・手続が異なる部門
たとえば、自社開発の販売管理システムをシステム部門が管理し、市販のパッケージソフトの会計システムは経理部門が管理している場合、評価単位はシステム部門と経理部門の2つを識別します。
または、クラウドサービスとクライアントサーバシステムを併用しており、システム変更や運用の方法が異なっているような場合においても、個々のIT全般統制の整備が必要にあると考えられます。
一方、評価対象のシステムが複数あっても、それらが同じ管理手続により管理されている等、内部統制の同質性が認められるのであれば、1つの評価単位としてまとめることも可能と思われます。
前年度の評価結果の利用
ITの利用により自動化された統制は、一度適切に設定されれば一貫して機能するという性質を鑑み、IT全般統制の運用状況の評価において以下の要件に該当すれば、前年度の評価結果を利用することができます。
- 財務報告の信頼性に特に需要な影響を及ぼす項目でないこと
- 前年度の評価結果が有効であること
- 前年度の整備状況と重要な変更がないこと
なお、IT全般統制の整備状況の評価において、前年度の評価結果が利用できないことに留意が必要です。
ただし、前年度のIT全般統制の運用状況の評価結果の利用について、IT環境の変化を踏まえて慎重に判断され、必要に応じて監査人と協議して行われるべきものであり、特定の年数を機械的に適用すべきものではないことに注意しなければなりません。
IT全般統制に不備がある場合
IT全般統制に不備があったとしても、それがただちに財務報告の信頼性に重要な影響を与えるリスクにつながるわけではありません。
IT業務処理統制が有効であれば、直接的には財務報告の虚偽記載が発生したとはいえないからです。
しかし、IT全般統制の不備は、IT業務処理統制の有効性を継続的に維持できていない可能性を示唆しているため、不備をすみやかに改善することが求められます。
また、保存されている財務データを失うようなリスクが高ければ、財務報告に与える影響の大きさを検討する必要があると思われます。
しかし、システムの性質上、システム改修のように短期の改善等が困難な場合もありますので、代替的または補完的な他の統制によって財務報告の信頼性確保に対応する必要があります。