日本版SOX法では、構成要素として「ITへの対応」が追加されたため、企業は情報システムを導入する際に、「入力管理」「データ管理」「出力管理」といったIT業務処理統制のほか、「ITの開発・保守にかかわる管理」「システムの運用管理」「システムの安全性確保」といった、IT全般統制からの視点も求められるようになりました。
従来、ERPソフトを選定する場合、どんな業務プロセスを備えているか、どんな処理機能を有しているか、がポイントでした。しかし、近年は内部統制への対応を目的としてERPソフトに注目する企業が増えており、これまでの業務処理の視点だけではなく別の視点が必要になります。
IT業務処理統制の視点には「入力管理」「データ管理」「出力管理」の3つがあり、以下にあげる点を備えているかどうかが問われることになります。
| 視点 | 確認すべき機能 |
| 入力管理 | データ入力時の承認機能 |
| セキュリティチェックによる不正入力や与信限度額といったマスターチェックによる誤入力を防ぐ機能 | |
| 整合性維持や監査証跡保持、問題原因究明のためのレコードカウント、連番チェックなどの有無 | |
| データ管理 | 全データ処理の正確性や安全性の確認・検証ができる機能 |
| システム間でのデータ授受の正確性を検証できる機能 | |
| 処理の異常や例外状況をすべて検知できる機能 | |
| エラー状況のモニター、記録や修正結果に関するログ管理機能などの有無 | |
| 出力管理 | 出力処理結果の安全性、正確性を検証できる機能 |
| 権限者のみが出力ファイルやレポート照会できることを保証する機能 | |
| 出力ファイルやレポートが適切に配布される機能などの有無 |
IT業務処理統制では、上記のようにここのシステムにおいてデータの正確性や網羅性などを確保するための統制、業務システムにおけるデータの入力・処理・出力が適切に行われていることを確保することが求められます。
IT業務処理統制が有効に機能する環境を保証するための統制活動を「IT全般統制」といいますが、日本版SOX法ではIT全般統制の具体例として以下の4点を挙げており、内部統制管理を目的にERPソフトを導入する場合には、この視点も押えておく必要があります。
ERPソフトのように複数のシステムが一つのシステム基盤上で稼動していれば、そのIT基盤に対する全般統制を有効にすることによって、複数の業務における情報の信頼性を確保することができますが、ERPソフトを単独モジュールで導入した場合には、各システムのIT基盤ごとの全般統制が必要となります。このようにERPソフトをどのように導入するかで、内部統制への対応が異なってくる点に注意が必要となります。