【コラム13】　IT統制の今

今回はIT統制について考えてみましょう。

IT統制を行うにあたっての質問として多いものには、やはり「何を、何処までやればいいのか？」があげられます。これは、内部統制における他の要素でも言えることですが、特にIT統制の場合、この点を明確にしておかなければ、後々、目指す方向性を見誤ってしまう可能性があります。皆様の会社のIT環境を考えてみた場合、統制環境を構築するための方向性が明確になっていますでしょうか。実施基準^(*1)、システム管理基準^(*2)を見ても、皆様の会社におけるIT統制の範囲、程度が的確に表現されているわけではありません。これは、同書が様々な業種、業態に対応する必要があるため、一概に「これだ」と明言することができないためでしょう。

そこで、IT統制を行うためのアプローチを考えてみましょう。一般的には、「リスクの明確化→リスクへの対応→活動→監視→評価→改善」と言った流れで実施していきます。この活動の中で気をつけなければならないのが、「何を、何処まで」という点です。よくあるケースとして上記アプローチを進めていくうちに、ISMS^(*3)並みのギャップ分析が行われ、出来上がった統制環境を見てみると、ISMSで使用する管理策のようなものになり、しばしば本来の目的から外れた活動なってしまうことがあります。その活動自体は間違いとは言えないかもしれませんが、ISMSは情報セキュリティのリスクに対応するためのシステムであり、IT統制は財務諸表の虚偽記載リスクに対応するためのシステムであり、両者、目指すところが違う上に、適用する範囲も違ってきます。そうなった場合、どのような弊害があるでしょうか。大半の企業の場合、限られた人数で通常の業務を運営し、併せて統制活動を実施していくわけですから、業務への負担が大きくなり、「業務の有効性と効率性」が達成できなくなる可能性が高くなります。確かに、「財務報告の信頼性」を脅かすリスクを排除することを最優先に考えなければなりませんが、「業務の有効性と効率性」を無視してよいわけではありません。

それでは、何処に的を絞ればいいのでしょう。「財務報告の信頼性」を効果的に保つためには、まず財務処理における重要なプロセスを見出すことです。次にそこで使用されている業務システムを明確にすることで、重要なプロセス、及び対象となるシステムが絞りこめます。その上で、システムを構成する個々のアプリケーションが有効に統制される環境、つまりアプリケーションの信頼性に焦点を当てれば、何をすればいいのか、ある程度、的が絞りこめるのではないでしょうか。そうすれば「何を」「何処まで」「どのように」IT統制システムを構築すればいいか、また、統制を証明できる必要なトレーサビリティ及び記録が何であるかが、見えてきませんか。

入退室の管理、ウイルス対策なども大事なことですが、皆様の会社の財務諸表の正確性等を脅かすリスクが本当はどこに潜んでいるのかを、もう一度見直してみてはいかがでしょう。自ずと絞り込むべきポイントがより明確に見えてくると思います。「リスクへの対応」と「業務の有効性と効率性」が如何にバランスよく運用できるかが、IT統制に限らず、内部統制構築における最大のポイントではないでしょうか。

(*1)　『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）』
(*2)　『システム管理基準追補版（財務報告に係るIT統制ガイダンス）』
(*3)　情報セキュリティマネジメントシステム（現在ではJISQ27001:2014となっている）

[ < 前へ ]    [ コラム一覧へ ]    [ 次へ > ]