IT業務処理統制とは

IT業務処理統制とは ITに係る内部統制
2023.01.31

 ITに係る内部統制は、全社的な内部統制、決算・財務報告プロセスに係る内部統制、および業務プロセスに係る内部統制を補完して、その有効性を高める役割を果たします。

 内部統制の整備にITを利用している場合は、「IT全社統制」「IT全般統制」「IT業務処理統制」についても評価する必要があります。

ITに係る内部統制の役割

 この記事では、IT統制のうち、財務報告の虚偽記載リスクに直接影響する「IT業務処理統制」について簡単にまとめました。

※内部統制基準=「財務報告に係る内部統制の評価及び監査の基準」
※実施基準=「財務報告に係る内部統制の評価及び監査に関する実施基準」

IT業務処理統制とは

 実施基準では、IT業務処理統制について以下のように記しています。

ITに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制である。

 コンピュータがまだ普及していない頃は、上記引用のように「承認された業務が全て正確に処理、記録されることを確保」するために、業務プロセス内に潜む財務報告の虚偽記載リスクに対する統制は、手作業で行われていました。

 現在では、会計システムや販売管理システム等の業務管理システムが利用されることが一般化し、財務報告の虚偽記載リスクに対する統制がIT技術によって自動化され、システムに組み込まれるようになりました。

 内部統制の構築や運用にあたり、業務プロセスに係る内部統制ITに係る内部統制は区別されてはいますが、基本的にはどちらも業務プロセスにおいて一体となって実施される統制です。

自動化された統制と手作業統制

 IT業務処理統制には、業務プロセスにおいてプログラムに組み込まれ、完全に自動化された統制だけでなく、手作業とコンピュータ処理が一体となって機能している統制も含まれます。

自動化された統制と手作業統制

 手作業とコンピュータ処理が一体となって機能している統制の一般的な例として、以下のように、システムから出力された情報を利用した手作業による統制が考えられます。

例1)販売管理システムより出力された受注データのエラーリストをもとに、受注担当者がエラーの発生原因を究明し、得意先と調整を行う。

例2)在庫管理システムより未検収リストを出力し、検収担当者が未検収の原因を調査し、その結果を検収責任者が承認する。

 一般的に、自動化されたITに係る業務処理統制は手作業によるITに係る業務処理統制よりも無効化が難しくなりますが、以下の点に留意が必要です。

  • 自動化されたIT業務処理統制であっても過信せずに、内部統制の無効化のリスクを完全に防ぐことは困難であるという視点を持つこと
  • 電子記録について変更の痕跡が残り難い場合には、内部統制の無効化が生じてもその発見が遅れる場合があること

IT業務処理統制の具体例

 実施基準では、ITに係る業務処理統制の具体例として、以下のような項目を挙げており、これらをシステムに組み込むことで、より効率的かつ正確な処理が可能になるとしています。

  • 入力情報の完全性、正確性、正当性等を確保する統制
  • 例外処理(エラー)の修正と再処理
  • マスタ・データの維持管理
  • システムの利用に関する認証、操作範囲の限定などアクセスの管理

入力情報の完全性、正確性、正当性等を確保する統制

 データをシステムに入力する際の入力情報に対する統制です。

 不正な情報がシステムに取り込まれるのを防ぐことで、財務報告の信頼性の確保を支援します。

 入力の有効性の統制には以下のようなものがあります。

ディジットチェック

 商品コード等の入力で、コード数字列の最後に、数学的に計算した1桁の数値データを付加することで、入力データにミスや改竄がないかを確認します。

★妥当性チェック

 以下のように適切でないデータが入力されないようにする統制です。

  • リミットチェック:あらかじめ設定した限界数値を超過した数値の入力をできないようにする統制
  • メニュードリブンインプット:ドロップダウンリストから選択したデータだけしか入力できないようにする統制
  • フィールドチェック:特定のデータフィールドに、入力可能な形式(記号、文字、数値等)を制限し、誤った形式のデータが入力されないようにする統制
  • フィールドサイズチェック:8桁の数値が入力されていなければエラー表示されるように、正確な入力文字数を要求する統制
  • 欠損データチェック:入力漏れのフィールドがあるとエラー表示されるように、データの不備を発見する統制
  • ロジックチェック:郵便番号と整合していない都道府県名が入力されるような際に機能する、論理的でない組合せの入力データを受け入れないようにする統制
  • マスタチェック:入力されたデータがマスタファイルと照合され、入力データの妥当性をチェックする統制であり、例えば、受注データを販売管理システムに登録する際に、入力された得意先コードが得意先マスタと照合され、マスタに登録されていない得意先の受注データが入力されないようにする

例外処理(エラー)の修正と再処理

 前述のように入力情報の完全性等を担保する統制をプログラムに組み込んだとしても、その後のデータ処理においてイレギュラーなデータが発生する場合があります。

 そのようなデータを抽出し、修正する発見的統制を整備しておく必要があります。

 よく見られる統制として、例外的なデータのリストをシステムから出力し、そのリストを用いて各データの内容を確認し、必要であれば修正処理を行うような、手作業とコンピュータ処理が一体となって機能している統制です。

 例としては、前述の「自動化された統制と手作業統制」で示した例1や例2の他に、以下例3のような統制が考えられます。

例3)財務部門が売掛金の滞留リストを出力し、そのリストを元に営業部で滞留の理由や督促の状態等が把握されたうえで、権限者の承認を受けて売掛金の修正や貸倒処理を実施する。

 なお、例外的データの抽出に誤りがあると、その後の手作業(=確認作業等)も正しく行われないため、適切な出力データが作成されるようにプログラムされなければなりません。

マスタ・データの維持管理

 マスタ・データとは、得意先マスタや商品マスタ、単価マスタ等のような情報を集約した管理表で、データ入力時に参照・転記することで、ミスや不正を防止します。

 例えば、給与計算システムへの従業員情報において支給額入力する際、賃金テーブルマスタを参照することによって入力ミスを防ぎます。

 また、売上データ入力時に得意先マスタを参照しますが、新たに取引する得意先の場合は事前に与信調査を行ったり、権限者の承認を得てから得意先マスタに登録する手続きを経ることにより、架空の得意先の売上処理ができないようにすることが可能です。

 このような仕組みが適切に機能するためには、マスタ・データの正確さを維持しなければなりません。

 もしマスタ・データに誤りがあると、その誤った情報を参照した従業員情報や売上データ等がすべて間違ったものになってしまい、結果として給与計上額や売上計上額等の財務情報に影響を及ぼします。

システムの利用に関する認証、操作範囲の限定などアクセスの管理

 昨今のITシステムでは、利用者個人が特定できるように個人別のIDとパスワードを付与したうえで、ログイン時に認証を要求することで利用者を制限する仕組みが一般的となっています。

 アクセス制限を行うことで、適切な者だけが財務データの作成や承認処理をすることが可能になり、不正やミスによる財務情報の登録を防ぐことにつながります。

 なお、経理部門では特に、財務担当と経理担当、または起票担当と承認権限者の職務分離が重要であると考えられています。

 アクセス権限の管理に関しては、IT全般統制でも具体的な統制項目の一つとして「内外からのアクセス管理などシステムの安全性の確保」が挙げられています。

 IT業務処理統制のアクセス管理には、IT全般統制のアクセス管理が有効に機能していることが必要となります。

IT全般統制 ー内外からのアクセス管理などシステムの安全性の確保ー
IT全般統制とは、IT業務処理統制が有効に機能する環境を保証するための統制活動のことをいい、具体的な統制項目のひとつに「内外からのアクセス管理などシステムの安全性の確保」が挙げられます。この記事では、「内外からのアクセス管理などシステムの安全性の確保」に関連する統制活動について、簡単にまとめました。
backofficestudy.com

業務プロセスとアプリケーション・システムの関連と統制

 IT業務処理統制では、前述の4つの統制項目の観点以外に、業務プロセスとアプリケーション・システムを関連付け、データの「入力」「処理」「出力」という視点で、ITに係る業務処理統制を分類することも可能です。

入力統制

 業務システムの入力の局面で機能する統制です。

 主に前述の統制項目「入力情報の完全性、正確性、正当性等を確保する統制」がこれに当たります。

処理統制

 自動計算、分類、抽出、転記(自動転送を含め)等のデータ処理の完全性や正確性を保証するための統制です。

★冗長性チェック

 必要のないビットをデータの末尾に追加することで、伝送上のエラーを検出します。

  • パリティチェック:送信するビット列に対して検査用のビットを付加する方法
  • 巡回冗長検査(CRC):送信するデータをある定数で除した余りを送信するデータに付加する方法
  • ハミング符号:送信するデータに検査・訂正用のビットを付加する方法

★コントロール・トータル

 入力されたデータの合計額と、処理された後のデータの合計額を照合し、システムが扱うデータの完全性を担保する統制で、入力統制に利用される場合もあります。

★ハッシュ・トータル

 1日で処理する発注データすべての仕入先コードを算術的に合計するような、本来なら意味のない合計値を用いてデータの網羅性をチェックする統制です。

★取引履歴(トランザクション・ログ)

 すべての取引履歴を記録するプログラムをシステムに組み込み、問題の発生を事後的に見つける発見的統制とするとともに、監査証跡として利用することもできます。

出力統制

 前述の「例外処理(エラー)の修正と再処理」では、出力されたエラーリストが正しく表示され、リストについても適切に扱われなければなりません。

 そのため、データ出力に対して統制を整備する必要があります。

  • データの出力:エラーリスト等の出力が決められたスケジュールや手順によって行われているか
  • 出力データの配布:権限のある者にのみ出力帳票が配布されているか、または出力データが安全に管理、保管、廃棄されているか
  • 出力データに関する手続き:エラーデータの報告および対応の手続きが定められているか

 なお、処理統制は自動化されたチェック機能がシステム内で完結して働きますが、出力統制には人の手による統制が介在するという違いがあります。

タイトルとURLをコピーしました