ITを取り入れた情報システムに関する統制

ITの統制とは、会社で利用している情報システムや管理している情報に対して起こりうるリスク（情報改ざんや情報漏えいなど）を予防・発見・回復する会社内部の仕組みのことです。近年、企業を取り巻くビジネス環境は、グローバル化や多様化、さらに市場競争の激化などを受けて急速に変化しつつあります。こうした状況に対応するため、多くの企業が「SCM」や「CRM」、「SFA」などの情報システムを導入しています。

これらの情報システムの活用により、製品の付加価値を高めたり、コストを大幅に削減するなど、業務の有効性と効率性を高めることが可能になりました。また、日常業務における記入漏れや書類の不備などを未然に防いだり、アクセス権限を活用することで、職務の分掌をスムーズに行うなど、内部統制の手段としても有効です。いまや企業活動とITは切っても切り離せない関係にあるのです。

しかしその反面、デメリットが存在するのも事実です。例えば、プログラムミスによって誤った処理がなされてしまったり、セキュリティの不備を突かれて重要なデータが流出するなど、不祥事に結びつくような大きなリスクに発展するかもしれません。また、システム障害やエラーが発生したとき、ごくわずかな不具合が全社的に影響を及ぼしてしまう可能性もあります。

このようなシステムの脆弱性やトラブルは企業経営にとって大きなリスクとなっており、今まで以上にシステムの安定稼働が問われています。そこで、IT環境の健全性とその運用管理、オペレーション業務の適正性を確保するための手段として注目されているのが、このIT統制なのです。

IT統制の管理態勢には、PDCAサイクルを回していくことが重要です

IT統制は、一度整備してしまえば完了というものではなく、環境の変更などに対応して、整備内容を継続的に変更・改善していく必要があります。IT統制の整備には、計画（Plan）、実施（Do）、チェック（Check）、改善（Action）のいわゆるPDCAサイクルを回し続けることが重要となります。

サイクル	解説
1.計画（Plan）	自社のIT統制の欠陥や不備を洗い出し、改善計画を策定します。
2.実施（Do）	作成した計画を元に、実際のIT統制の整備を推進します。
3.チェック（Check）	整備したIT統制を有効に機能させ続けるために、既存のIT統制がビジネス環境に適合し、有効に機能しているかをチェックします。
4.改善（Action）	チェックの結果を受けて、改善策の策定、実施を行います。

このPDCAサイクルが、適切に実施されているかどうか、経営者・情報システム部門・および内部統制管理部門がそれぞれの立場からチェックし、必要に応じて関与を行っていくことが重要となります。

統制活動の分類

経営者が、自ら設定したITの統制目標を達成するために行う統制活動は、「IT全般統制」と「IT業務処理統制」の二つに分類されます。

まずIT全般統制とは、企業内における信頼性、安全性、戦略性、経済性、遵守性を確保する共通的な仕組みのことです。具体的には、ハードウェアやアプリケーションの導入などのITインフラの構築やメンテナンス、アクセス権限の設定といったセキュリティ対策などが挙げられます。簡単にいうと「社内の共通のITサービスをコントロールすること」といえるでしょう。

もう一つのIT業務処理統制は、業務処理を正確に行うために各部門の業務プロセスに組み込まれた統制を指します。データの収集と処理に関して、1.網羅性、2.正確性、3.正当性、4.維持継続性に主眼を置いたコントロールを行うこと。つまり「ITに内部統制の機能を支援させる」ことです。

この両者は、それぞれ単独で機能しているわけでなく、一体となって運用されることで、初めて完全かつ正確な情報処理を確保できる体制になります。

ITの利用には、情報処理の有効性や効率性を高めるというメリットがありますが、その反面、プログラムの不正な改ざんや不正な使用等があった場合に、プログラムに精通したものしか対応できず、不正等の適時な発見が難しくなり、全社的な影響に繋がってしまうなどの弊害もあります。そこで、ITをいかに統制するかが重要となってくるのです。

IT全般統制は、IT部門における日常的業務を可視化し、整備していきます

業務システムの適切な運用を実現するために、共通のインフラを維持していくための統制活動です。具体的には、ネットワークの運用管理やOSの取得および保守、ファイルサーバーなどのアクセス設計・管理、アプリケーション・システムの取得及び開発、保守など、情報システム面の特にインフラについての内部統制を指します。

例えば、コンピュータ・ウイルスに感染したサーバーが組み込まれたITシステムで業務処理が行われれば、財務報告の信頼性を確保することは難しくなります。ここの業務処理に使用されるアプリケーションシステムが、要件に基づいて運用され、安定的かつ継続的に稼動していくためには、基盤となるハードウェアやネットワーク、ソフトウェアなどのITインフラが適切に管理される必要があります。

IT全般統制が確立されていなければ、IT業務処理統制が有効に機能しづらくなります。そのため内部統制にITを活用する際には、全社的なITシステムの基準やガイドライン、実務指針を定めなければなりません。組織レベルとプロセスレベルで行うIT全般統制には、次のようなものがあります。

組織レベルで行う統制	プロセスレベルで行う統制
セキュリティポリシーの制定	戦略、計画立案プロセスの整備
ソフトウェアの開発（発注）等の承認権限の分離	開発（発注）承認基準
システムごとの最高責任者の設置	開発（発注）運用手続き基準
ITの企画、設計・開発、運用、利用の職務分離	技術設計基準
内部システム監査の実施	運用設計基準
	データ設計基準
	運用業務基準

IT業務処理統制はヒューマンエラー（人為的過誤）対策が中心

IT全般統制は、IT活用のためのインフラを適切に機能させるための統制ですが、IT業務処理統制（ITAC）は、業務処理の完全性、正確性、承認、有効性を保証するため、各部門の業務プロセスの中に組み込まれたIT化された統制のことです。

業務アプリケーション内の完全性、正確性、承認、有効性は、設計、開発、導入時に確保されていますが、業務アプリケーションを操作するのは人間です。いくら注意していてもヒューマンエラー（人為的過誤）は起こるものですし、不正操作という悪意を持った行為が生じる可能性もあります。このヒューマンエラー対策がIT業務統制の大きな柱となっており、代表的なものには以下のようなものがあります。

入力データチェック
金額を入力する数値項目には数値以外が入力されないようにします。誤発注などの不祥事を防ぐために、現実離れした数値を入力した場合にはエラーメッセージを表示させたり、入力内容を再度画面表示させます。

複数チェック
営業担当が入力した内容を経理担当や上司がチェックするなど、入力や選択した内容を複数でチェックするようにします。また、画面と帳票で確認方法を変更します。

マスター参照
入力ミスや不正を防止するため、固定化されている数値（単価など）は、マスターから参照して入力の手間を省略します。

承認機能
承認権限者の処理を経ないことには、業務アプリケーションの次の処理に進めないようにします。承認者は、担当者が入力した内容をチェックしなければならなくなり、入力ミスや不正処理を発見する機会が増えます。

IT統制監査の実施手順

IT統制を整備運用していくためには、システム部門や業務部門などの関係者がその役割を果たしているか、効果的な活動を行っているかどうかを監視し、牽制するために、当事者から独立した部門による「IT統制監査」が必要となります。IT統制監査は以下のように、予備調査→本調査→評価・結論→監査報告→フォローアップの流れで実施されます。

予備調査
本調査に先立って行われるもので、監査対象となる情報システムや部門の概要を把握し、その実態とコントロールの整備状況を認識することが目的となっています。監査人は、情報システムに関する規定、各種設計書、担当者へのインタービューなどを行うことにより、現状を確認し、コントロールに対する整備状況を評価します。

本調査
具体的な監査証拠を収集し、予備調査で確認したコントロールが有効に機能しているかを確認します。監査人は、現地調査、インタビュー、コンピュータによるデータ検証などを実施して、客観的な証拠を入手します。本調査で発見された問題点などの指摘事項は監査調書に記録しておきます。

評価・結論
調査でまとめた監査調書を確認し、監査の目的との妥当性の確認や監査結果の評価を実施し、監査意見をまとめます。報告の内容に見解の相違が生じるのを防ぐため、監査人は監査対象となる部門との意見交換を行うことも必要となります。

監査報告
監査人は、監査の結果とその評価を経営者や監査対象となった部門に報告するための「監査報告書」を作成し報告を行います。

フォローアップ監査
監査で発見された統制不備事項の改善状況を確認するために行われます。対策が不適切と判断された場合は、再度指摘を行い、速やかに報告書に指摘事項を取りまとめたうえで、責任者に報告し、更なる改善を促します

IT統制監査は、一度実施すれば終わりという性質のものではありません。ITリスクマネジメントのPDCAサイクルの「C（Check）」として組み込まれており、更なるIT統制の整備・運用の改善を行うためには、継続的な実施が必要となります。

関連ページ：スプレッドシート統制とシンクライアントの活用