ITに関する内部統制について
現代における多くの企業では、取引の開始から記録、処理、報告に至るまでの手続や財務諸表に含まれるその他の財務情報の作成過程にITが利用されています。
また、昨今のますます加速するデジタル化の流れの中で、内部統制に占めるITの重要性の比率はさらに重みをましています。
今回は、整備を行う企業側にとっても、監査人側にとっても今後非常に重要になると思われるITに関する内部統制について何回かのシリーズに分けて解説していきたいと思います。
1.ITを利用した情報システムに対する内部統制の分類
ITを利用した情報システムに対する内部統制には、業務処理統制と全般統制があります。
このうち業務処理統制は、業務プロセスにおける個々のアプリケーションによる取引の処理に適用される手続をいい、全般統制は、多くのアプリケーションに関係する方針及び手続であって、業務処理統制が有効に機能することを支える内部統制のことをいいます。
また、内部統制には、手作業によるもの、自動化されたもの、あるいは、両者を組み合わせたものがありますが、これはITに関する内部統制についても適用されます。
2.IT統制の具体例
では次に、ITによる統制の具体例を見ていきましょう。
①手作業による統制
【業務処理統制】※IT統制の埒外
手作業による統制のうちの業務処理統制の具体例として、『取引記録の作成・承認帳票類の手作業での作成やその承認』があります。
このような手作業による業務処理統制は、個々のアプリケーションによる取引の処理に関連している一方で、IT作成情報ではない情報を利用して情報システム外で行われていて、ITに関連しないものが大半であると考えられます。
これを反映し、たとえばIT実務指針第6号においても、業務処理統制を、プログラムに組み込まれている自動化された業務処理統制と、ITから自動生成される情報を利用して実施される手作業による内部統制の二つに分類し、手作業による業務処理統制は除かれています。
【全般統制】
手作業による統制のうちの全般統制の具体例として、『ITインフラに対する意思決定』があります。
具体的には、経営戦略としてのシステム導入に関する取締役会等による意思決定や、ログインIDの発
行・削除・権限変更の申請・承認などです。
作業自体にITは介在しなくても、全般統制の場合はその対象範囲がITに関する領域であることは十分にあり得ることですから、手作業による統制≠IT統制とはならない点に注意が必要です。
②自動化の処理結果を利用した手作業による統制
【業務処理統制】
自動化の処理結果を利用した手作業による統制のうちの業務処理統制の具体例として、『業務処理統制に関するIT作成情報を利用した判断』があります。
非常に分かりにくい表現ですが、日報や日次集計表、滞留債権情報等についてITシステムの処理結果を利用して、経営者・管理者等が承認や処理方針などを決定するような場合がこれに該当します。
会社の会計システムから吐き出された滞留債権に関する情報をレポート化し、それを基に取引を継続するのか、取引を停止して支払督促をするのか、それとも裁判を行うのかを決定するといった実務が考えられます。
【全般統制】
自動化の処理結果を利用した手作業による統制のうちの全般統制の具体例として、『全般統制に関するIT作成情報を利用した判断』があります。
これも分かりにくいですが、ID番号と登録者名・権限内容や、各IDのシステムへのログイン・ログオフ内容等について、システムから出力された記録を利用し、過剰な権限の付与や情報への異常なアクセスの有無を管理者が識別・判断するような場合がこれに該当します。
実務上は、セキュリティの観点から行われる月次でのIDチェックなどがあります。
②自動化された統制
【業務処理統制】
自動化された統制のうちの業務処理統制の具体例として、『自動計算』があります。
具体的には、出荷情報の取得に基づき、販売システムでは単価マスターを参照し、得意先別の売上高を計算・集計するような実務がこれに該当します。
【全般統制】
自動化された統制のうちの全般統制の具体例として、『統合ID管理システム』があります。
IDの管理を行うツールを導入している場合の人事マスター等の在籍記録や所属部署・職位の記録に基づくIDの付与・削除、権限の初期割り当てが実務上該当します。
3.業務処理統制に関する留意点
業務処理統制に関する留意点として、ITから自動生成される情報を利用して実施される手作業による内部統制も業務処理統制を構成するという点が挙げられます。
たとえばインターフェイスによるデータ受渡処理が想定どおりに行われなかった場合にそれを是正するように実施される内部統制は、重要な虚偽表示を防止するために重要な役割を果たすものですから、このような内部統制が手作業で行われている場合には業務処理統制の一部として評価を行う必要があります。
「業務処理統制=自動化された内部統制」と短絡的に理解しないようにしましょう。
また、ITから自動生成される情報を利用して実施される手作業による内部統制の評価を行う場合は、手作業に利用する情報を自動生成するような機能についても、自動化された業務処理統制と同様に必要な評価作業を行うことがあります。
このような情報の自動生成の機能は、全般統制により支援されるITにより自動化された機能であるため、当該機能それ自体の評価のみならず、関連する全般統制の評価を行うことがあります。