PJCについて
PJCからのお知らせ【コラム12】 3種類のIT統制の違いとは
お客様とIT統制の話をしていると、IT全社的統制、IT全般統制、IT業務処理統制の3つの違いがわからないという話を聞く場合があります。
企業会計審議会から出ている『財務報告に係る内部統制の評価及び監査に関する実施基準』(いわゆる実施基準)では、「IT全社的統制 → IT全般統制 → IT業務処理統制」の順番に書かれています。3つのIT統制がわかりにくい場合は、「IT業務処理統制 → IT全般統制 → IT全社的統制」の順番で考えてみるといかがでしょうか。
IT業務処理統制は、財務諸表に係る業務のミスや不正を防止するために、ソフトにより異常に大きい売上高を入力できないようにしたり、売上管理ソフトが利用できる人を限定し利用パスワードを秘密にすることなどです。
しかし、そのソフトにバグあるといけないので、ソフト開発では仕様を明確にしたり、誤って古いソフトが利用者に渡らないようにし、その利用者が転勤したら速やかにその人は利用できなくする必要があります。これがIT全般統制で、いわゆる管理する仕組みですね。もちろん、ソフト開発を専門会社に委託したとしても、委託業務内容を曖昧なままにしておくのは危険です。
これらのIT全般統制は、適宜IT技術を見直さないと外部からの不正に対応できないかもしれません。また、社内の業務が変更されたのに、対応するIT技術を変更しないとミスを見逃すかもしれません。ですから、内外のリスクを認識し、ITを有効利用し、管理する体制を構築する必要があります。当然、方針や基本計画も必要です。その基本的な枠組みがIT全社的統制です。
このように、IT業務処理統制から追ってみると、IT統制の仕組みがわかりやすくなる場合があります。IT統制を考えるヒントになれば幸いです。
注意:上記コラムに出てくる事例はIT統制の一例です。詳細は実施基準などを参考にしていただきますようお願いします。