近年、ITの進歩に伴い、多くの企業が様々な事業においてITを活用しており、内部統制の整備や運用においてもITの利用は欠かせません。
あまり身近に感じにくいかもしれませんが、例えば、企業でのリモートワークの利用もここ数年でとても増えています。実はこれもIT統制の一つになるのです。
IT統制を行うことは、企業にとって必要不可欠なものとなってきています。
ここでは、「IT統制の構築をしたいけれど、どのような基準があるのだろう」「そもそもどんなことをするの?」という方に向けて概要や分類などについて解説していきます。
IT統制とは
「IT統制」とは、内部統制の「6つの基本的要素」の内の1つである「ITへの対応」を達成できるように、企業内で利用されているITに対して適切な方針や仕組みを考え、運用し、有効に機能させることです。
- IT統制の目標
- IT統制の信頼性の確保
日本では、巨額の横領事件、食品の生産地等の不当表示、大量の個人情報の流出、インサイダー取引、有価証券報告書の虚偽記載、TV番組のやらせ等、企業による不祥事が毎日のようにメディアを騒がせています。 このような企業不祥事を防ぐ手段として、[…]
IT統制の目標
IT統制を有効なものにするためには、それを達成するための目標を設定する必要があります。
目標としては次のものが挙げられます。
a. 有効性および効率性:情報が業務に対して効果的、効率的に提供されていること
b. 準拠性:情報が関連する法令や会計基準、社内規則等に合致して処理されていること
c. 信頼性:情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること(正当性、完全性、正確性)
d. 可用性:情報が必要とされているときに利用可能であること
e. 機密性:情報が正当な権限を有する者以外に利用されないように保護されていること
引用元:令和元年12月6日 企業会計審議会『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)』
IT統制の信頼性の確保
IT統制は、財務報告の信頼性を確保する必要があります。会計上の取引記録の正当性、完全性および正確性を確保するためには、上記目標の中でも特に「信頼性」が実施されます。
・正当性:取引が組織の意思・意図に沿って承認され、行われること
・完全性:記録した取引に漏れ、重複がないこと
・正確性:発生した取引が財務や科目分類などの主要なデータ項目に正しく記録されること
引用元:令和元年12月6日 企業会計審議会『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)』
IT統制の分類
IT統制にはさまざまな統制が含まれるため、評価を実施するにあたり分類して文書化し、評価を実施する必要があり、下記3つの実施基準があります。
- IT全社的統制
- IT全般統制
- IT業務処理統制
IT全社的統制
IT全社的統制とは、連結対象企業を含む企業全体を対象としたITに係る内部統制のことで、後述するIT全般統制やIT業務処理統制を支える根幹となるものです。
企業の戦略を実現していくうえで、ITの利用を可能にするための統制で、企業規模やITへの依存度が高まるほどに重要性が増します。
実施基準では以下の項目の整備を推奨しています。
・経営者は、ITに関する適切な戦略、計画等を定めているか。
・経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
・経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
・ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリスクが考慮されているか。
・経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか。
引用元:令和元年12月6日 企業会計審議会『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)』
IT全般統制
IT全般統制とは、業務処理統制を有効に機能させる環境を実現させるための統制活動です。
そのため、後述するIT業務処理統制が有効に機能するかは、土台的な役割を担うIT全般統制の有効性に大きく影響を受けます。
実施基準では具体例として以下を挙げています。
・システムの開発、保守に係る管理
・システムの運用・管理
・内外からのアクセス管理等のシステムの安全性の確保
・外部委託に関する契約の管理
引用元:令和元年12月6日 企業会計審議会『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)』
IT業務処理統制
IT業務処理統制とは、業務を管理するITにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれた内部統制のことです。
財務報告の信頼性に対して直接的に影響を及ぼすため、IT業務処理統制の不備の重要性によっては、「開示すべき重要な不備」につながる可能性があります。
また、実施基準では具体例として以下を挙げています。
・入力情報の完全性、正確性、正当性等を確保する統制
・例外処理(エラー)の修正と再処理
・マスタ・データの維持管理
・システムの利用に関する認証、操作範囲の限定などアクセスの管理
引用元:令和元年12月6日 企業会計審議会『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)』
IT統制について
「IT統制」について解説いたしました。
- 「IT統制」とは内部統制の「6つの基本的要素」の内の1つである「ITへの対応」を達成できるように、企業内で利用されているITに対して適切な方針や仕組みを考え、運用し、有効に機能させることを指す。
- IT統制を有効なものにするために、IT統制によって達成するための目標を設定する必要がある。
- IT統制の分類は「IT全社的統制」「IT全般統制」「IT業務処理統制」がある。
このように、IT統制は内部統制において重要な要素で、現代の企業にとって避けることができないものとなっています。
企業の目標を達成するためにはITを上手く活用し、業務が円滑に進むような仕組みづくりが必要です。
IT統制を構築するためにも、まずは社内にどのようなシステムがあるかを適切に把握することから始めることが必要です。
