IT統制とは、「IT を利用した情報システムに対する内部統制」のことを指す。アクセス制御機能によって財務情報へのアクセス制限を有効に機能させるためのID、パスワードの管理などがそれに当たる。経済産業省「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)」(2007年3月)による定義だ。

 この管理基準の副題に“財務報告に係るIT統制”とあるように、相互に複雑にからみ合っている企業のシステムやネットワークを、「ここからここまでが財務です」と切り分けるのは難しい。このため、財務諸表を担保するためのIT統制の仕組みを作るに当たっては、ベンダーまで含めた幅広い対策が必要となる。

財務報告とIT統制の関係 (出典:経済産業省「システム管理基準追補版(財務報告に係るIT統制ガイダンス)」を筆者が一部加工

 同管理基準では、IT統制を「IT 全社的統制」「IT 全般統制」「IT 業務処理統制」の三つの統制に分類している(上図)。それぞれの役割について概説する。

(I)IT全社的統制

 IT全社的統制では、「企業全体のITに係る方針・計画・手続き等」を明確にすることが望まれており、その整備に責任を持つのは経営者である。その要件は下記が範囲となる。

a. 経営者のITに対する関心、考え方
b. ITに関する戦略、計画、予算等の策定および体制の整備
c. 組織の構成員のITに関する基本的な知識や活用する能力
d. ITに係る教育、研修に関する方針

(II)IT全般統制

 業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続がその範囲となる。

a. システムの開発、保守に係る管理
 ・経営戦略に沿わないIT投資はしていないか?
 ・プログラムの不正改ざん対策は大丈夫か?

b.システムの運用・管理
 ・プログラムのバグやシステムダウンは大丈夫か?
 ・データの信憑性は確保されているか?

c.内外からのアクセス管理等のシステムの安全性の確保
 ・特権IDの管理は大丈夫か?
 ・アクセス者および権限は適正に管理されているか?
 ・不正アクセス対策は万全か?

d.外部委託に関する契約の管理
 ・外部委託先からのデータの流出や改ざん対策は万全か?
 ・外部委託先との契約で定義と管理にトラブルはないか?

(III)IT業務処理統制

 業務を管理するシステムにおいて、承認された業務がすべて正確に処理・記録されることを確保するために業務プロセスがその範囲になる。

a. 入力管理:入力データの作成から保管までの情報システムのデータ管理
 ・入力されたデータが重複なく、正しいデータのみが入力されているか?

b. データ管理:データの授受、交換、複製及び破棄に伴う一連の作業の管理
 ・データに不正なアクセスが行われる要素はないか?

c. 出力管理:出力データの作成、授受、検証、出力の実施、出力後の確認、保管等、データ出力に伴う一連の作業の管理
 ・データの出力に過不足が発生していないか?
 ・保管・破棄の際に紛失や機密漏えいが行われる要素はないか?

d. スプレッドシート:財務報告に影響を与えるスプレッドシート等については、適切な統制を導入することにより、その情報の信頼性を保証する。
 ・財務担当者の利用するスプレッドシートの処理や管理が適正に行われずその結果が信頼できないことはないか?

 緑字で記載した事態が一つでもトラブルとして発生すれば、企業運営に多大な影響を及ぼす。起こってしまってからの対策は不可能なものばかりだ。

 必要以上に恐れることはないが、こうしたITリスクを発生させないために、「ITリスクの洗い出し」(このリスクは、どこで発生し、どんな事態を引き起こすのか? ビジネスへの影響は?)によってリスクを把握し、その「対策の策定」(ぞれぞれのリスクに対する防衛策〔統制〕の策定)をしておくことが求められている。自社で起こりうるITリスクを常に考え把握し、かつ未然に防ぐ対策を講じるシステムがIT統制である。

 IT統制は、「事故は起こるもの」という前提のもとでリスクを探り出し、未然に防ぐための改善をしていくことの繰り返しだ。IT統制の成熟度を高めるということは、(1)現状の把握、(2)ITリスクの洗い出し、(3)予防策(改善策)の決定、(4)予防策(改善策)の実施、(5)評価+フォローアップのサイクルをまわすということだ。様々な要因によって日々変化する環境では、事故(リスク)の形態も変化する。「IT統制の成熟度を高める」とは、どのようにITリスクを認識し、予防策を策定・実施し、常に改善を行い強化していくかだといえる。

 下表は、経済産業省「システム管理基準追補版(財務報告に係るIT統制ガイダンス)」の内容を参考にしてまとめたものだ。ただし、リスクの例、統制(コントロール)の例は概念的な表現で具体例がなかったので、具体的な企業のコントロール状況の例として、私の所属する会社のIT監査の質問に対するIT統制のコントロール状況をベースに一般的な例示として置き換えたものである。自社の取り組みと比較してみれば、参考になる点もあるのではないだろうか。

財務報告とIT統制の関係(出典:筆者 参考資料:経済産業省 システム管理基準追補版(財務報告に係るIT統制ガイダンス)

執筆:東建IT研究会
「建設会社の利益に結びつくITの研究及び支援」を目的に、東京建設業協会内に2004年5月14日に設立した研究会。月1回の定例会議で、講習会の企画・開催、意見交換会、調査・研究、教育プログラム策定などの活動を行っている。
▼東建IT研究会のウェブサイト
http://token.or.jp/itlab/