業務システムの適切な運用を実現するために、共通のインフラを維持していくための統制活動です。具体的には、ネットワークの運用管理やOSの取得および保守、ファイルサーバーなどのアクセス設計・管理、アプリケーション・システムの取得及び開発、保守など、情報システム面の特にインフラについての内部統制を指します。
例えば、コンピュータ・ウイルスに感染したサーバーが組み込まれたITシステムで業務処理が行われれば、財務報告の信頼性を確保することは難しくなります。ここの業務処理に使用されるアプリケーションシステムが、要件に基づいて運用され、安定的かつ継続的に稼動していくためには、基盤となるハードウェアやネットワーク、ソフトウェアなどのITインフラが適切に管理される必要があります。
IT全般統制が確立されていなければ、IT業務処理統制が有効に機能しづらくなります。そのため内部統制にITを活用する際には、全社的なITシステムの基準やガイドライン、実務指針を定めなければなりません。組織レベルとプロセスレベルで行うIT全般統制には、次のようなものがあります。
| 組織レベルで行う統制 | プロセスレベルで行う統制 | |
| セキュリティポリシーの制定 | 戦略、計画立案プロセスの整備 | |
| ソフトウェアの開発(発注)等の承認権限の分離 | 開発(発注)承認基準 | |
| システムごとの最高責任者の設置 | 開発(発注)運用手続き基準 | |
| ITの企画、設計・開発、運用、利用の職務分離 | 技術設計基準 | |
| 内部システム監査の実施 | 運用設計基準 | |
| データ設計基準 | ||
| 運用業務基準 | ||