HOME > 内部統制/IFRSコンサルティング > 内部統制コラム > コラム6:IT全般統制の見える化

【コラム6】 IT全般統制の見える化

最近、あるクライアント様から

『当社では、ITに係る全般統制を有効に整備、運用するために、関連する規程類を整備し、経産省システム管理基準追補版を基にしたIT全般統制RCMを作成しましたが、実際に行っているシステム開発・変更管理、システム運用やアクセス管理に関する具体的な手順や統制との関係が見えてこない気がします。何か良い方法はありませんか。』

といった相談を受けることがありました。

多様な業種のお客様に対してIT統制に関するコンサルティングをさせていただいて感じることは、情報システム部門は決して「機械系」ではなく「人間系」であるということです。ホスト系システム、クライアント・サーバシステム、ERPベース等のIT環境の違いに係らず、そのシステムの信頼性は、それを管理しているIT担当者の技能や経験に依る部分が多いと思われます。それは全社的な内部統制の観点からも非常に有効な要素ですが、「人間系」であるが故のリスクもまた存在します。そうしたリスクを明確にし、適切な統制手続きを整備するためには、概括的な規程やシステム管理基準追補版といったフレームワークに頼るだけではなく、より具体的なシステムの変更管理や障害管理、アクセス管理に関して実際の業務の流れを把握する必要があります。

例えば貴社のシステム開発・変更管理において、システム化依頼~責任者承認~開発・変更~システムテスト~テスト結果の承認等 といったプロセスの具体的な手順のいくつかが、業務フローにも手順書にもなっておらず、IT担当者の頭の中に「慣行」として保存されているならば、それを「見える化」する必要があります。

PJCでは業務プロセスの文書化(3点セット作成)支援の一つとしてマイクロソフト社のVisio内部統制文書化ツールを使用しています。これは当然情報システム部門の業務プロセスにも適用可能です。

冒頭の質問のように「実際に行っているシステム開発・変更管理やシステム運用、アクセス管理に関する具体的な手順や統制との関係が見えてこない気がする」といった場合、具体的な手順のいくつかがIT担当者の「慣行」で運用されていて、明文化されていない可能性があります。

そのような場合は、IT全般統制に関する具体的な手順をVisioの業務フロー図、業務記述書により明確にし、システム化依頼やシステムテストにおけるリスクやコントロールをそのプロセスの中に対応させたRCMを作成することを検討してみてください。そうしたIT全般統制の「見える化」は、貴社の内部統制の整備・運用に有効なだけではなく、実際のIT業務の信頼性、効率性を高める役割を果たす可能性が大きいと思われます。

[ < 前へ ]    [ コラム一覧へ ]    [ 次へ > ]