IT業務処理統制とは

　ITに係る内部統制は、全社的な内部統制、決算・財務報告プロセスに係る内部統制、および業務プロセスに係る内部統制を補完して、その有効性を高める役割を果たします。

　内部統制の整備にITを利用している場合は、「IT全社統制」「IT全般統制」「IT業務処理統制」についても評価する必要があります。

　この記事では、IT統制のうち、財務報告の虚偽記載リスクに直接影響する「IT業務処理統制」について簡単にまとめました。

※内部統制基準＝「財務報告に係る内部統制の評価及び監査の基準」
※実施基準＝「財務報告に係る内部統制の評価及び監査に関する実施基準」

　実施基準では、IT業務処理統制について以下のように記しています。

ITに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制である。

　コンピュータがまだ普及していない頃は、上記引用のように「承認された業務が全て正確に処理、記録されることを確保」するために、業務プロセス内に潜む財務報告の虚偽記載リスクに対する統制は、手作業で行われていました。

　現在では、会計システムや販売管理システム等の業務管理システムが利用されることが一般化し、財務報告の虚偽記載リスクに対する統制がIT技術によって自動化され、システムに組み込まれるようになりました。

　内部統制の構築や運用にあたり、業務プロセスに係る内部統制とITに係る内部統制は区別されてはいますが、基本的にはどちらも業務プロセスにおいて一体となって実施される統制です。

　IT業務処理統制には、業務プロセスにおいてプログラムに組み込まれ、完全に自動化された統制だけでなく、手作業とコンピュータ処理が一体となって機能している統制も含まれます。

　手作業とコンピュータ処理が一体となって機能している統制の一般的な例として、以下のように、システムから出力された情報を利用した手作業による統制が考えられます。

例１）販売管理システムより出力された受注データのエラーリストをもとに、受注担当者がエラーの発生原因を究明し、得意先と調整を行う。

例２）在庫管理システムより未検収リストを出力し、検収担当者が未検収の原因を調査し、その結果を検収責任者が承認する。

　一般的に、自動化されたITに係る業務処理統制は手作業によるITに係る業務処理統制よりも無効化が難しくなりますが、以下の点に留意が必要です。

IT業務処理統制の具体例

　実施基準では、ITに係る業務処理統制の具体例として、以下のような項目を挙げており、これらをシステムに組み込むことで、より効率的かつ正確な処理が可能になるとしています。

　データをシステムに入力する際の入力情報に対する統制です。

　不正な情報がシステムに取り込まれるのを防ぐことで、財務報告の信頼性の確保を支援します。

　入力の有効性の統制には以下のようなものがあります。

★ディジットチェック

　商品コード等の入力で、コード数字列の最後に、数学的に計算した１桁の数値データを付加することで、入力データにミスや改竄がないかを確認します。

★妥当性チェック

　以下のように適切でないデータが入力されないようにする統制です。

リミットチェック：あらかじめ設定した限界数値を超過した数値の入力をできないようにする統制
メニュードリブンインプット：ドロップダウンリストから選択したデータだけしか入力できないようにする統制
フィールドチェック：特定のデータフィールドに、入力可能な形式（記号、文字、数値等）を制限し、誤った形式のデータが入力されないようにする統制
フィールドサイズチェック：８桁の数値が入力されていなければエラー表示されるように、正確な入力文字数を要求する統制
欠損データチェック：入力漏れのフィールドがあるとエラー表示されるように、データの不備を発見する統制
ロジックチェック：郵便番号と整合していない都道府県名が入力されるような際に機能する、論理的でない組合せの入力データを受け入れないようにする統制
マスタチェック：入力されたデータがマスタファイルと照合され、入力データの妥当性をチェックする統制であり、例えば、受注データを販売管理システムに登録する際に、入力された得意先コードが得意先マスタと照合され、マスタに登録されていない得意先の受注データが入力されないようにする