販売システム、購買システム、会計システムなど、どんな企業であれITは日常業務のなかに組み込まれ、必要不可欠なものとなっています。そのことはつまり、ITに関する内部統制を適切に構築し、それを維持することが現代企業に求められているともいえます。
業務内容や情報システムに取り入れられているITが高度であればあるほど、「ITへの対応」の重要性も増してきます。そのことは、2005年に相次いで発生した東京証券取引所のシステム障害や金融機関のATMでのスキミング、ウイルスによる顧客情報の大量流出などの例を見ても明らかでしょう。
内部統制におけるITへの対応は、「IT環境への対応」と「ITの利用及び統制」という2つのタイプに分けることができます。IT環境とは、「組織が活動するうえで必然的に関わる内外のITの利用状況」と定義されており、以下の点に考慮しなければなりません。
ITの利用及び統制は、他の基本的要素の有効性を確保するために、ITを有効に利用しているかという「ITの利用」と、業務で利用されているITを適切に管理しているかという「IT統制」を意味しています。
「ITの利用」は、統制環境やリスクの評価と対応、統制活動、情報と伝達、モニタリングを有効かつ効率的に実施することを目的に、ITを利用することをいいます。具体的にはERPパッケージの導入や社内ネットワークの整備、グループウェア、ワークフローシステムの導入などが挙げられます。
「IT統制」はさらに、ハードウェアやネットワークの運用管理、ソフトウェアの開発、変更、運用ならびに保守など、社内の共通のITサービスをコントロールする「IT全般統制」と、入力情報の正確性、エラーデータの修正と再処理の機能が確保されているか、システムの利用に関する認証などのアクセス管理が成されているかなど、ここのアプリケーション・システムにおいて、承認された取引が全て正確に処理され、記録されることを確保する「IT業務処理統制」に分けられます。