みなさん、こんにちは!
【内部統制ナビ】の第4弾として、「2.内部統制の構成/③IT統制」について説明させて頂きます。前回の第3弾のリリースから時間が経ってしまい、誠に申し訳ございませんでした。
IT統制の重要性の高まり
前回「業務プロセスに係る内部統制」について説明致しましたが、今回は、「財務報告に係る内部統制」の基盤を支える重要な役割を持つ「IT統制」について説明します。
金融庁企業会計審議会による「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準(以下J-SOX実施基準)」が、2023年4月7日に改訂されましたが、改訂のポイントとして以下の通り記載されています。
<内部統制の基本的要素>
「『「ITへの対応』では、ITの委託業務に係る統制の重要性が増していること、サイバーリスクの高まり等を踏まえた情報システムに係るセキュリティの確保が重要であることを記載した。」
<ITを利用した内部統制の評価>
「ITを利用した内部統制の評価に関して、一定の頻度で実施することについては、経営者は、IT環境の変化を踏まえて慎重に判断し、必要に応じて監査人と協議して行うべきであり、特定の年数を機械的に適用すべきものではないことを明確化した。」
上記の通り、昨今のサイバーリスクの高まりなどIT環境の激的な変化を踏まえ、IT統制の重要性が一段と増しており、全ての上場会社においてIT統制の有効性向上の必要性が高まっていることを、十分認識しておく必要があります。
IT統制の3つの階層
「J-SOX実施基準」では、IT統制について以下の通り記載されています。
「経営者は、自ら設定したITの統制目標を達成するため、ITの統制を構築する。
ITに対する統制活動は、『全般統制』と『業務処理統制』の二つからなり、完全かつ正確な情報の処理を確保するためには、両者が一体となって機能することが重要となる。」
「『ITに係る全般統制』とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。」
「『ITに係る業務処理統制』とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制である。」
上記の通り、IT統制は一般的に、「IT全般統制(=ITGC/IT General Control)」と「IT業務処理統制(=ITAC/IT Application Control)」に分かれます。
「IT業務処理統制」が、いわゆるITによる自動化されたコントロールを指し、業務プロセスのフローチャートにおける「システム」に設定されるものです。一方で「IT全般統制」は、「IT業務処理統制」が機能するための環境を保証するコントロールであり、IT・システムに対する開発・運用の仕組みやルール等のコントロールを指します。また、全社統制のコラムで説明した通り、内部統制の基本的要素の一つとして「ITへの対応」という項目がありますが、この項目を「IT全般統制」と「IT業務処理統制」の上位概念として、「IT全社統制」として位置付けている上場会社が多いです。
このように、IT統制には3つの階層があり、「IT全社統制」の下で、業務プロセスの中で「IT業務処理統制」が有効に機能するように、「IT全般統制」により環境が保証される、という体系をしっかり理解することが重要です。
IT全社統制とは
「J-SOX実施基準」では、内部統制の基本的要素の一つである「ITへの対応」について、以下の通り記載されています。
「ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適時かつ適切に対応することをいう。
ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。
ITへの対応は、IT環境への対応とITの利用及び統制からなる。」
上記より、IT全社統制の整備・運用のポイントを、以下の通り整理することができます。
- IT戦略・計画の策定 ⇒ 中長期IT投資計画の策定、情報システム管理規程・情報セキュリティ管理規程の策定
- IT環境の把握 ⇒ 社内外のIT環境・IT利用状況の把握、手作業及びITを用いた統制の利用領域の判断
- ITの利用 ⇒ ITによる自動化(=IT業務処理統制)の整備・運用・評価
- ITリスクの把握と統制 ⇒ サイバーセキュリティ・外部委託などITリスクの把握、IT全般統制の整備・運用・評価
IT全般統制とは
「J-SOX実施基準」では、IT全般統制の具体例として、以下4つの項目が挙げられています。
➀ システムの開発、保守に係る管理
② システムの運用・管理
③ 内外からのアクセス管理などシステムの安全性の確保
④ 外部委託に関する契約の管理
このように、IT全般統制は、➀システムの開発・保守、②システムの運用・管理、③情報セキュリティ、④外部委託管理の4つの観点から、システムを統制します。
ITを利用した情報システムにおいては、一旦適切なIT業務処理統制を組込めば、意図的に手を加えない限り継続して機能する性質を有していますが、例えば、その後のシステム変更段階で必要な内部統制が組込まれなかったり、プログラムに不正な改ざんや不正なアクセスが行われるなど、IT全般統制が有効に機能しない場合には、適切なIT業務処理統制を組込んだとしても、その有効性が保証されなくなる可能性があります。
こうした問題に対応していくためには、例えば、
① システムの開発又は変更に際して、当該システムの開発又は変更が既存のシステムと整合性を保っていることを十分に検討するとともに、システム開発・変更の過程等の記録を適切に保存する。
② プログラムの不正な使用、改ざん等を防止するために、システムへのアクセス管理に関して適切な対策を講じる。
など、IT全般統制を適切に整備することが重要となります。
<IT全般統制の全体像>
IT業務処理統制とは
「J-SOX実施基準」では、IT業務処理統制の具体例としては、以下項目が挙げられています。
➀ 入力情報の完全性、正確性、正当性等を確保する統制
② 例外処理(エラー)の修正と再処理
③ マスタデータの維持管理
④ システムの利用に関する認証、操作範囲の限定などアクセスの管理
これらの業務処理統制は、手作業により実施することも可能ですが、システムに組込むことにより、より効率的かつ正確な処理が可能となります。
一般的に、IT業務処理統制は、
① 入力コントロール ⇒ 入力情報の完全性、正確性、正当性等が確保されているか?
② 処理コントロール ⇒ システムによる処理・計算が正確に実施されているか?
③ エラーデータコントロール ⇒ エラーデータの修正と再処理の機能が確保されているか?
④ マスタデータコントロール ⇒ マスタデータの正確性が確保されているか?
⑤ アクセスコントロール ⇒ 認証・操作範囲の限定など適切なアクセス管理がなされているか?
の5区分で整理することができます。
「IT統制」のまとめ
今回のコラム「2.内部統制の構成/③IT統制」は、以上となります。最後までお読み頂き、誠に有難うございます。
IT統制は、他の内部統制と異なり、「IT全社統制」⇒「IT全般統制(=ITGC)」⇒「IT業務処理統制(=ITAC)」といいう3つの階層から構成され、各階層において文書化を行った上で、整備状況と運用状況の評価を行う必要があります。
「IT全社統制」は、金融庁「J-SOX実施基準」の「ITへの対応」に例示された5項目に沿って文書化および評価を行えば良いのですが、「IT全般統制」は、評価対象として識別されたシステムごとにCOBIT(Control Objectives for Information and related Technology)と呼ばれる情報・技術を適切に管理するための包括的なガイドラインに沿って、文書化および評価を行うのが一般的です。
また、「IT業務処理統制」に至っては、高度なITスキルを保有していなければ詳細な文書化や評価を行うことは困難であるため、ITに依存している上場会社においてはIT人材の確保と育成が喫緊の課題となっています。
次回は、「決算・財務報告プロセスに係る内部統制」について2024年1月を目処にリリースさせて頂きますので、宜しくお願い致します。
関連記事はこちらから
コメント