本ウェブサイトでは、JavaScriptおよびスタイルシートを使用しております。
お客さまがご使用のブラウザではスタイルが未適応のため、本来とは異なった表示になっておりますが、情報は問題なくご利用いただけます。
現在の企業においては、主要なビジネスプロセスの大半を情報システム(IT)で処理しているため、人間系の内部統制に加えて、情報システム(IT)自体の内部統制が重要になってきます。
内部統制の基本的要素としての「ITへの対応」とは、予め適切な方針及び手続きを定め、業務の実施において組織の内外のITに対し、適切に対応することであり、「IT環境への対応」と「ITの利用及び統制」の2つに分けられます。
内部統制の基本的要素としての「ITへの対応」とは、内部統制を業務面と情報システム面の両方で整備・運用することと考えられます。
【出典】
日本公認会計士協会・IT委員会報告第3号
「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」
金融庁・企業会計審議会
「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」を基に作成
以下のような対応が、今後情報システム部門に求められます。
業務処理統制とIT全般統制の各プロセス毎の具体的な作業例を以下に示します。これらのプロセスは何らかの形で既に取り組まれているものも多いと思われますが、内部統制強化の観点からは、各プロセス毎に見直し・改善を図っていくことが必要になります。
| 分類 | プロセス | 作業内容例 |
|---|---|---|
| 業務処理統制 | 業務システム見直し | 既存業務アプリケーションへのコントロール組み込み、ERPの導入・更新、業務プロセスのモニタリング、業務プロセスと文書の統合管理 |
| IT全般統制 | 1.組織及び計画 | 組織体制、職務権限・職務分離、規程・基準、要員管理、情報化計画、予算編成・管理 |
| 2.企画・開発プロセス | 開発手法、標準化、開発基準・規程、開発(変更)計画、設計、プログラミング、テスト、移行、ドキュメント管理 | |
| 3.運用プロセス | 運用管理規程、運用スケジュール管理、運用業務記録、障害管理、ライブラリ管理、バックアップ方法(OS・アプリケーション・データ) | |
| 4.維持・保全プロセス | ハードウェア管理、ソフトウェア(バージョン・ライセンス)管理、ネットワーク管理、データベース管理 | |
| 5.情報セキュリティ | セキュリティポリシー・基準・規程、セキュリティ管理体制、個人認証方法、アクセス権限管理(ネットワーク・OS・データベース・アプリケーション)、アクセスログ取得・保管、ウィルス対策、入退室管理、機器・媒体持出管理、防災・防犯体制・設備 | |
| 6.事業継続/災害対策 | ビジネス影響分析、事業継続計画策定、レビュー、訓練 | |
| 7.外部委託 | 委託先評価・選定基準、業務委託手続、委託先管理方法、NDA・SLA締結 |
