内部統制構築 日本版SOX法の対応なら、公認会計士による安心のサポート、アークコンサルティング。
お問合せ | サイトマップ
内部統制・J-SOX対応経験のある公認会計士による信頼のサポート
内部統制 > 内部統制 最新情報 > 監査実施基準 > ② ITの利用及び統制 

② ITの利用及び統制 

ITの利用及び統制とは、組織内において、内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること、並びに組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させることをいう。

〔ITの利用〕
ITには、情報処理の有効性、効率性等を高める効果があり、これを内部統制に利用することにより、より有効かつ効率的な内部統制の構築を可能とすることができる。
イ. 統制環境の有効性を確保するためのITの利用
 統制環境のうちITに関連する事項としては、例えば、次のものが挙げられる。
 (ア) 経営者のITに対する関心、考え方
 (イ) ITに関する戦略、計画、予算等の策定及び体制の整備
 (ウ) 組織の構成員のITに関する基本的な知識や活用する能力
 (エ) ITに係る教育、研修に関する方針
 また、ITの利用は、統制環境の整備及び運用を効率的に行っていく上でも重要となる。例えば、電子メールといったITを利用することは、経営者の意向、組織の基本的方針や決定事項等を組織の適切な者に適時に伝達することを可能にし、統制環境の整備及び運用を支援することになる。
 一方で、ITの利用は、例えば、経営者や組織の重要な構成員等が電子メール等を用いることにより、容易に不正を共謀すること等も可能としかねず、これを防止すべく適切な統制活動が必要となることにも留意する必要がある。
ロ. リスクの評価と対応の有効性を確保するためのITの利用
 組織内外の事象を認識する手段として、またリスク情報を共有する手段としてITを利用することにより、リスクの評価と対応をより有効かつ効率的に機能させることが可能となる。例えば、販売管理部門又は経理部門において、売掛債権の発生や回収を適時に把握し、回収が滞っている売掛債権について別途の管理をする仕組みをITを利用して構築しておくことにより、適切な売掛債権の管理を有効かつ効率的に行うことが可能となる。
 また、ITを利用して組織内部におけるリスク情報の共有状況を把握し、これに基づき、リスクが適切な者の間で共有されているかを分析し、その結果に基づいて、リスク情報の共有範囲を見直すなどの内部統制の整備を行うことも考えられる。
ハ. 統制活動の有効性を確保するためのITの利用
 ITを利用した統制活動を、適切に設計して業務プロセスに組み込むことにより、統制活動の自動化が可能となる。例えば、適切な生産管理システムを開発し、その中に棚卸の検証プログラムを組み込んでおき、製造部門が製造指図書のデータに従って在庫原材料の出庫数量を入力する手続や倉庫係が日々の原材料の実在庫データを入力する手続等を業務プロセスに組み込むことにより、瞬時に帳簿在庫と実在庫の差を把握し、問題の発見に役立てることが考えられる。
 統制活動が自動化されている場合、手作業による統制活動に比べて迅速な情報処理が期待できるほか、人間の不注意による誤謬等の防止も可能となり、結果として、内部統制の評価及び監査の段階における手続の実施も容易なものとなる。一方で、統制活動が自動化されているとプログラムの不正な改ざんや不正な使用等があった場合に、プログラムに精通した者しか対応できず、不正等の適時の発見が困難になるといった問題点も考えられ、適切なアクセス管理等の措置を講じておくことにつき留意する必要がある。
ニ. 情報と伝達の有効性を確保するためのITの利用
 ITの利用により、組織内部での情報伝達の手段を効果的に業務プロセスに組み込むことも可能となる。ITを利用した情報システム、特にネットワークが使われている場合には、例えば、必要な承認や作業完了が一定期間に実施されないと、その旨が担当者の上司に伝達される機能など、業務管理に必要な情報の伝達を、業務プロセスに組み込むこともできる。
 ホームページ上でメッセージの掲載などITを利用することにより、組織外部に向けた報告を適時に行うことが可能となるとともに、ITを利用して、自社製品へのクレーム情報等を外部から収集したりすることも可能である。ただし、組織外部への情報の公開及び情報の収集にITを利用する場合には、特に外部からの不正な侵入等に対して適切な防止措置を講じるなどの留意が必要となる。
ホ. モニタリングの有効性を確保するためのITの利用
 統制活動の有効性に関する日常的モニタリングは、日常の業務活動を管理するシステムに組み込み自動化することで、より網羅的に実施することが可能となる。その結果、独立的評価に当たってリスクを低く見積もることができるため、独立的評価の頻度を低くしたり、投入する人員を少なくすることも可能となる。
 一方、ITを利用したモニタリングは、予めモニタリングする指標を設定してプログラミングしておく必要があるため、システム設計段階から計画的に準備を進めることが必要となる。

 以上のとおり、内部統制にITを利用することにより、より有効かつ効率的な内部統制の構築が期待できる反面、ITを高度に取り入れた情報システムは、手作業による情報システムと異なり、稼動後の大幅な手続の修正が困難であるとの問題がある。
 また、システムの仕様によっては、ITを利用して実施した手続や情報の変更等が適切に記録されないことがあり、そのような場合には、事後の検証が困難となるとの問題が生じうる。
 したがって、内部統制の整備及び運用に当たっては、ITを利用した情報システムの特性を十分に理解し、予め計画的に準備を進めるとともに、適切な事後の検証方法等について検討しておく必要がある。
 なお、内部統制にITを利用せず、専ら手作業によって内部統制が運用されている場合には、例えば、手作業による誤謬等を防止するための内部統制を、別途構築する必要等が生じ得ると考えられるが、そのことが直ちに内部統制の不備となるわけではないことに留意する。

〔ITの統制〕
ITの統制とは、ITを取り入れた情報システムに関する統制であり、自動化された統制を中心とするが、しばしば、手作業による統制が含まれる。
イ. 組織目標を達成するためのITの統制目標
 ITの統制を有効なものとするために経営者が設定する目標を、ITの統制目標と呼ぶ。ITの統制目標としては、例えば、次のものが挙げられる。
 a. 有効性及び効率性:情報が業務に対して効果的、効率的に提供されていること
 b. 準拠性:情報が関連する法令や会計基準、社内規則等に合致して処理されていること
 c. 信頼性:情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること(正当性、完全性、正確性)
 d. 可用性:情報が必要とされるときに利用可能であること
 e. 機密性:情報が正当な権限を有する者以外に利用されないように保護されていること
 財務報告の信頼性を確保するためのITの統制は、会計上の取引記録の正当性、完全性及び正確性を確保するために実施される。
 正当性とは、取引が組織の意思・意図にそって承認され、行われることをいい、完全性とは、記録した取引に漏れ、重複がないことをいい、正確性とは、発生した取引が財務や科目分類などの主要なデータ項目に正しく記録されることをいう。
 金融商品取引法による内部統制報告制度においては、ITの統制についても、財務報告の信頼性を確保するために整備するものであり、財務報告の信頼性以外の他の目的を達成するためのITの統制の整備及び運用を直接的に求めるものではない。
ロ. ITの統制の構築
 経営者は、自ら設定したITの統制目標を達成するため、ITの統制を構築する。
 ITに対する統制活動は、全般統制と業務処理統制の二つからなり、完全かつ正確な情報の処理を確保するためには、両者が一体となって機能することが重要となる。
a.ITに係る全般統制
 ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。
ITに係る全般統制の具体例としては、以下のような項目が挙げられる。
・システムの開発、保守に係る管理
・システムの運用・管理
・内外からのアクセス管理などシステムの安全性の確保
・外部委託に関する契約の管理

 ITを利用した情報システムにおいては、一旦適切な内部統制(業務処理統制)を組み込めば、意図的に手を加えない限り継続して機能する性質を有しているが、例えば、その後のシステムの変更の段階で必要な内部統制が組み込まれなかったり、プログラムに不正な改ざんや不正なアクセスが行われるなど、全般統制が有効に機能しない場合には、適切な内部統制(業務処理統制)を組み込んだとしても、その有効性が保証されなくなる可能性がある。
 こうした問題に対応していくためには、例えば、
① システムの開発又は変更に際して、当該システムの開発又は変更が既存のシステムと整合性を保っていることを十分に検討するとともに、開発・変更の過程等の記録を適切に保存する
② プログラムの不正な使用、改ざん等を防止するために、システムへのアクセス管理に関して適切な対策を講じる
など、全般的な統制活動を適切に整備することが重要となる。

 ITに係る全般統制は、通常、業務を管理するシステムを支援するIT基盤(ハードウェア、ソフトウェア、ネットワーク等)を単位として構築することになる。例えば、購買、販売、流通の3つの業務管理システムが1つのホスト・コンピュータで集中管理されており、すべて同一のIT基盤の上で稼動している場合、当該IT基盤に対する有効な全般統制を構築することにより、3つの業務に係る情報の信頼性を高めることが期待できる。
 一方、3つの業務管理システムがそれぞれ異なるIT基盤の上で稼働している場合には、それぞれのIT基盤を管理する部門、運用方法等が異なっていることが考えられ、それぞれのIT基盤ごとに全般統制を構築することが必要となる。
b.ITに係る業務処理統制
 ITに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制である。
 ITに係る業務処理統制の具体例としては、以下のような項目が挙げられる。
・入力情報の完全性、正確性、正当性等を確保する統制
・例外処理(エラー)の修正と再処理
・マスタ・データの維持管理
・システムの利用に関する認証、操作範囲の限定などアクセスの管理
 これらの業務処理統制は、手作業により実施することも可能であるが、システムに組み込むことにより、より効率的かつ正確な処理が可能となる。