「ITにおける 内部統制」

　この連載では、内部統制の意味や役割について、内部統制の枠組みである5つの基本要素、各業務プロセスの内部統制システムについて説明をしてきましたが、これから数回にわたり、最も重要とされてくるIT統制について説明していきたいと思います。およそ連載の半分くらいのところまでやってきたかと思いますので、今までの掲載分を読み返していただいたり、用語集を知識の習得として活用していただければ幸いです。

　現在は、もはやITを導入していない企業はないと言ってもよい時代になりました。内部統制を考える上で、ますますIT分野における内部統制が重要なものになってきました。このような企業内のIT環境の変化は読者の皆さんが一番よく実感されているところかと思います。
2つの統制: IT全般統制とIT業務処理統制

　まず、情報システムに関する統制活動のことを「IT統制」と言います。では、どうしてITを利用して事務処理を行うのでしょうか。

　ITを利用するメリットとしては、一度に大量の事務処理を早く正確に行えるという点がまずあります。プログラムのミスがあっては困りますが、人の作業を中心としたマニュアルでは、とてもITのようにいかないことは明らかです。プログラムミスがあれば、正しいデータが入力されたとしても正しい処理がされなくなってしまいます。ITを当たり前のように使う毎日ですので、利用者は、無意識のうちに正確に処理されているはずだと疑わなくなっているもの。チェックが甘くならないようにしないといけません。

　ITにおける内部統制には、「IT全般統制」と「IT業務処理統制」の二つの統制があります。ITを活用した業務プロセスには、システムへのインプット～システム内の処理～システムからのアウトプットの三つのステップがあります。簡単に言ってしまえば、このプロセスを統制することがIT統制ということになりますが、IT統制は単に情報システムだけを対象としているのではありません。当然、インプットは、各担当者が入力するということになります。例えば、受注伝票を作成し、そこに記載されたデータを販売管理システムに入力するのは、販売業務担当者になるでしょう。インプットは、人間の手によってされるのです。「ITを導入すれば内部統制が完全に出来てしまう」ということではまったくありません。つまり、IT統制の構築や運用においては、システム上自動化された統制活動と、データ入力のように人間によるマニュアル作業があり、その両面が合致したシステムを作り上げ統制活動をすることが必要になってきます。

　IT全般統制は、ひとつひとつのアプリケーション・システムが有効に機能するために、必要な環境や基盤を構築してサポートしていくための統制活動を指し、外部からのウィルス侵入や内部のアクセス制限などのITセキュリティの構築と、新しいソフトウェア開発などの情報システムの開発があります。

　IT業務処理統制は、各部署ごとのシステムの統制、つまり販売管理システム、会計システム、生産管理システムなどの統制ということになります。
組織と業務プロセス、両レベルで統制
　これは、いわば、「会社組織レベルの統制」と「各業務プロセスレベルの統制」という二つのアングルから見た統制活動と言えるでしょう。IT全般統制は、IT業務処理統制が有効であることを保障するような役割をもっていると言えます。

　次回の連載からは、「ITガバナンスへの取り組み」「全社レベルのIT全般統制」「業務レベルのIT業務処理統制」を少し掘り下げて説明したいと思います。