内部統制の視点からITをチェックしよう：総務部門のためのIT解説 「内部統制」編（1/2 ページ）

[小林秀雄，＠IT]

（上場を目指しているベンチャー企業の社長と若手総務担当社員の会話）

「業務プロセスの見直しは進んでいるようだね」

「ハイ！ 各部門の主任が集まって業務に不正が生じるリスクがあるかどうか、検討しています。危なそうなところが見えてきているので、そこは業務プロセスを再構築することにしています」

「業務マニュアルの整備も頼むよ」

「ハイ。業務プロセスの再構築と同時にマニュアルも作成しています。完成すれば、新人社員でも間違いなく業務が行えるようになるはずです」

「でも、業務はIT上で行われているから、ITの安全性なんかも大切なんだよな。しかし、いったい何をしたらいいのかな？」

「経営コンサルタントの義兄を呼びましょう！」

内部統制に果たすITの役割とは？

　トップダウンで「不正を起こさない風土・気風」が組織に横溢（おういつ）し、「不正ができない業務プロセス」が構築され、それを実行するための基準やプロセスが文書・マニュアルとして作成され、会計不正に関するリスクマネジメントの仕組みが出来上がったら、次はITに目を配るフェイズに入る。

　内部統制におけるIT対応策は、「IT全般統制」と「IT業務処理統制」の2つがある。今回は、IT全般統制とは何か、IT全般統制を実行するためにどんなことをしたらいいのかについて取り上げ、次回にIT業務処理統制について述べることにするが、まず、内部統制の構築に果たすITの役割や重要性について押さえておこう。

　企業に内部統制をもたらす契機となったのは金融庁が打ち出した金融商品取引法だ。その目的は、財務報告の信頼性を担保することにある。そのために、投資家が入手する財務報告書にウソがないことを経営者が明言することを求めている。これが内部統制のアウトラインだ。

　そして、財務や会計といった財務報告書に直結する業務はもちろん、販売や発注といった会計に反映される業務もいまや、IT上で実行・管理されているのが現実だ。もしも、コンピュータがダウンして財務データが破損したら財務報告書の作成に遅延が生じるだろう。また、IT機器へのアクセスが緩ければ、財務・会計データが改ざんされる可能性がある。そんな事態を招かないよう、ITシステムの構築と運用を行いましょうというのがIT全般統制の中身である。

　その主な対象は、ITシステムの中のIT基盤であり、そのIT基盤の開発・運用にかかわるマネジメント手法にリスクをもたらす漏れがないか、注意することがIT全般統制である。一方、IT業務処理統制は、業務処理という言葉で分かるように、業務でITを利用する場合に不正が生じないようにすることを求めている。

　IT全般統制のカバー範囲の方が広く、かつ深い。IT全般統制は、ITを利用する上での基本的な考え方を確立して、内部統制の視点から常に見直しを掛けていくというITガバナンスの領域だともいえる。建築物に例えれば、IT全般統制は土台や基礎に当たり、その上にIT業務処理統制という家が建築されるというイメージになる。

　内部統制に対する即効性というか緊急度という点ではIT業務処理統制の方が高いといえるだろう。だが、ITに対する全体的なマネジメント手法が確立されていなければ、そこで扱われる重要なデータ（会計、売り上げや発注などのデータ）の信頼性は担保されない。やはり、IT基盤全体のマネジメントを確立することをIT統制の起点とすべきだろう。

　ただし、IT業務処理統制の領域で重要な欠陥（例えば、会計システムにおいてアクセス管理がなされていなくて誰でもデータが読めたり改ざんできる状態）があれば、後回しにせず、直ちに欠陥を取り除いておくべきだ。

IT全般統制で行うことは4つある

　では、IT全般統制の中身を具体的に見ていくことにしよう。「実施基準」は、IT全般統制の具体例として次の4項目を挙げている。

1. システムの開発、保守に係る管理
2. システムの運用・管理
3. 内外からのアクセス管理などシステムの安全性の確保
4. 外部委託に関する契約の管理

　この項目だけ見ても、何をしたらいいのかを理解することは難しいだろう。

　（1）のシステムの開発、保守に係る管理とは、システムを開発し、保守していく際に社内で規定を作成し、その規定に基づいて実行していくことが望ましい、ということを表明している。

　内部統制の関連で特に重要となるのは、システムを変更（保守）するプロセスだ。システムを変更する際に、システムに欠陥が生じるかもしれない。その欠陥が情報の漏えいや改ざんの原因となるかもしれない。そういうリスクに対する対策を打っておこうというのが（1）の趣旨である。変更に関しては、例えば「どのように変更したか」を記録しておくことだ。もちろん、新たにシステムを開発するときも同様である。

　だが、変更の記録を取っておくというのは、個別的な対応にとどまる。もっと基本的な、システム開発・保守に関する規定を整備して、その規定にのっとって開発なり保守を実施することが望ましい。それは、ITに対して統制を掛けるということを意味する。いわば、ITに関して自社の憲法を制定するようなことだと考えればいいだろう。

　しかし、これでも雲をつかむような感じで、行動には移れないだろう。よりどころが欲しいはず。そのよりどころとなるのは経済産業省が作成している「システム管理基準」である。このシステム管理基準は、同省のWebページに記載されているので参考にしてほしい。