では、(2)システムの運用・管理とは何を指すのだろうか。それは、システムの障害に備え、データのバックアップを取っておくこと、そして速やかにITを復旧させる仕組みを整備することだ。いってみれば、災害や障害が起きた場合のITを対象とした事業継続計画の策定と実施体制を構築することだ。地震で被害を受けることを想定すると、本社とは別の遠隔地にデータを二重化して持つか、IT企業のデータ保管サービスを利用することを勧めたい。
この場合のデータとは、直接的には財務・会計データを指すが、財務・関係の手前に位置する受発注など、財務報告の信頼性に影響のあるデータも対象となる。
(3)のアクセス管理などのシステムの安全性確保は、説明を加える必要はないだろう。財務・会計あるいは受発注などのデータが改ざんされないよう、IDやパスワードによるアクセス管理を施し、権限のない人がデータに触れることができないようにする対策を講じることだ。
(4)外部委託に関する契約の管理とは、ITの運用をアウトソーシングしていたり、給与計算を外部に委託している場合、委託先の外部企業において内部統制が働いているかを確認しなさいということである。委託先が上場企業であれば、その企業が内部統制報告書を作成するのでそれを利用すればOKだ。だが、委託先が上場企業でなければ、データを抜き出して調査をすることが必要となる。例えば、給与計算を外部委託しているなら、給与データを抜き取って実際に突き合わせて確認するということが求められる。企業は「証明責任」と「説明責任」を果たしなさいということである。
IT全般統制を進めるうえで気を付けておくべきことは、統制の単位だ。
財務・会計システム、販売管理システム、購買管理システム、在庫管理システム等々、企業にはいくつもの情報システムがある。もしも、これらの情報システムが1つのコンピュータ(IT基盤)で稼働しているなら、統制の対象は1つだ。しかし、別々のコンピュータで稼働している場合は、統制の対象はIT基盤ごととなる。上記に挙げた4つのシステムがそれぞれ別々のIT基盤で動いていれば、その4つすべてに統制を掛けることになる。
以上、IT全般統制の内容について述べてきたが、実際、企業の現状はどうかというと、上場企業でもほとんどの企業が及第点に達していない。例えば、システム開発に関する規定・マニュアルを整備している企業は少ない。ほとんどの企業が「これから」というのが実態だ。とはいえ、日々の業務はIT上で実行され、販売や在庫などのデータもITで管理されている。その意味で、内部統制の対象としてIT対策はやはり大きなウェートを占めている。
「やはり、内部統制を進めるにはITのチェックが欠かせないな」
「財務関係のデータが消失するなんて事態は絶対に避けないといけませんね」
「ウン。それとデータの改ざんが行えない仕組みも導入しないとな」
「同期のIT担当を交えてIT全般統制の4項目に関する当社の課題を洗い出します!」
「頼むよ」
小林 秀雄(こばやし ひでお)
東京生まれ。早稲田大学第一文学部卒業。雑誌「月刊コンピュートピア」編集長を経て、現在フリー。企業と情報技術のかかわりを主要テーマに取材・執筆。著書に、「今日からできるナレッジマネジメント」「図解よくわかるエクストラネット」(ともに日刊工業新聞社)、「日本版eマーケットプレイス活用法」「IT経営の時代とSEイノベーション」(コンピュータ・エージ社)、「図解でわかるEIP入門」(共著、日本能率協会マネジメントセンター)、「早わかり 50のキーワードで学ぶ情報システム『提案営業』の実際」(日経BP社刊)など
Copyright © ITmedia, Inc. All Rights Reserved.