IT統制は、全ての内部統制の基本的要素に関わる重要なものです
内部統制における「ITへの対応」は単なる基本的要素の一つとして説明するのは適切ではなく、IT統制という概念が存在します。
IT統制は、全ての内部統制の基本的要素に関わる重要なもので、大きく分けて「全般統制」と「業務統制」の2つがあります。
この両者はそれぞれ単独で機能しているわけでなく、一体となって運用されることで、初めて効果を発揮することができます。
IT統制とは?
情報システムや管理している情報に対して起こりうるリスク(情報改ざんや情報漏えいなど)を予防・発見・回復する会社内部の仕組みのことです。
ITの統制目標
全ての面で完璧を目指すのは現実的ではありません。実現すべき水準を定めておくのが重要です。
管理態勢(PDCA)
計画(Plan)、実施(Do)、チェック(Check)、改善(Action)のいわゆるPDCAサイクルを回し続けることが重要となります。
統制活動の分類
経営者が、自ら設定した目標を達成するために行う統制活動は、以下の二つに分類されます。
IT全般統制
業務システムの適切な運用を実現するために、共通のインフラを維持していくための活動です。
IT業務処理統制
業務処理の完全性、正確性、承認、有効性を保証するため、各部門の業務プロセスの中に組み込まれたIT化された統制のことです。
監査の実施手順
予備調査→本調査→評価・結論→監査報告→フォローアップの流れで実施されます。
COBITとは?
ITガバナンスの成熟度を測るフレームワークです。IT投資の評価、リスクとコントロールの判断、システム監査の基準などに使われています。
4つの領域(ドメイン)
「計画と組織」「調達と導入」「デリバリとサポート」「モニタリングと評価」の4つが定義されています。
COBITの成熟度モデル
IT管理プロセスがどれだけ適切に定義され、運営されているかを測定する手段として、6段階からなる成熟度モデルが定義されています。
COBIT for SOX
COBITの項目の中から、米国SOX法に関連するものを抽出、整理して作成された文書のことです。正式名称は、「サーベンス・オクスリー法(企業改革法)遵守のためのIT統制目標」といいます。
SOX法との関係
COBITは、日本版SOX法の根底を成しているIT全般統制に焦点を当てたフレームワークです。
スプレッドシート統制
業務や会計データ作成に利用される表計算ソフト(エクセル等)に対する統制のことで、財務報告の正確性を確保する上で欠かせません。
デジタルフォレンジック
クライアントPCやサーバーを介した犯罪や不正行為に対して行う調査手法や技術のことです。不正や犯罪に関わる重要なデータを復元したり、クライアント捜査ログからドキュメント操作、メールの送受信などの各ログを調査することで、原因を特定します。
ERPで内部統制を強化
ERPは、パッケージシステムとして標準化されたインフラの上に開発されたアプリケーションであるため、財務報告に直接影響するデータを自動的に収集し、一元管理できます。
IT統制の要件とERPソフトによる対応例
企業内で財務報告書を作成する機能を有しているほか、財務会計や販売管理、人事や生産の管理といった基幹業務アプリケーションの統合化や業務プロセスの標準化を行なうこともできます。
ERP導入のメリットとデメリット
企業のシステム全体を通じての一貫性がメリットですが、導入コストが巨額になることやシステム部門、ユーザー部門に多大な労力が要求されるなどもデメリットもあります。
ERPソフトの選定のポイント
近年は内部統制への対応を目的としてERPソフトに注目する企業が増えており、IT全般統制の視点が必要になります。
ERPの導入コスト
ライセンス価格だけでなく、年間保守サポートやアップグレードといった導入後にかかる費用まで含めて確認する必要があります。
ERP利用時の留意点
ERPは自社開発によるシステムではないため、社内要員のERP機能の理解不足が起きる可能性が高くなります。
シンクライアントで内部統制を強化
アプリケーションやデータをデータセンターで一元管理するため、情報漏洩対策の切り札として注目されています。
XBRLとは?
コンピューター上の共通言語「XML」を財務・会計事務向けに特化かつ標準化したものです。
XBRL導入のメリット
財務情報における世界共通語という位置づけですので、もっともメリットを享受できるのは決算処理における関係会社との連結処理です。
CMMI
組織のソフトウェア開発プロセスの成熟度を示すリファレンスモデルを提供しています。
