内部統制とIT情報システムの関係：丸山満彦の「内部統制」講座（2/4 ページ）

[丸山満彦，N+I NETWORK Guide]

IT情報システムに対する統制活動

　IT情報システムに対する統制活動は、情報の信頼性を確保するために重要である。IT情報システムに対する内部統制活動は、とりわけ財務報告の信頼性を確実にするために重要となる。例えば、識別された売上高が適切に処理されるためにもIT情報システムが信頼の置けるものでなくてはならないため、IT情報システムで取り扱うデータへのアクセス制御などの統制活動が必要となる。もちろん、財務報告の信頼性確保以外にも、企業活動の大部分がIT情報システムの支援により行われているため、IT情報システムによる統制活動、IT情報システムに対する統制活動が重要となる。例えば、商業登記などは電子的に行えるようになっているが、その際、社印に該当する電子証明書の登録の申請や保存は重要である。

　IT情報システムに対する統制活動は、古くから「全般統制」と「業務処理統制」の2つに区分して考えられてきた（図2）。それらの詳細について、以下に説明しよう。

IT情報システムに対する統制活動

全般統制と業務処理統制

　IT情報システムコントロールは、従来2つの活動に分けて考えられてきた。1つは、目的の達成に直接的な活動、例えば販売活動や購買活動、生産活動などが適切に行われるようにするための統制活動である。もう1つは、これらの直接的な活動が適切に機能するためにIT情報システムのインフラとして整備・運用する統制活動となる。

　前者の例では、例えば承認された販売取引のみが伝票入力されるよう、承認された販売取引データに承認フラグをつける。そして、そのフラグがついた取引のみ販売データとして伝票入力できるようなプログラムが販売処理アプリケーションに付加されているといったものである。これを「業務処理統制」という。

　後者の例としては、例えば販売取引の承認をするプログラムに対して、承認者だけがアクセスできるよう、アクセス制御を正しく設定するための統制活動などが該当する。これを「全般統制」という。全般統制の例としては、情報システムの企画や計画、アプリケーションソフトウェアの開発や取得、情報システムの運用や保守などに関する統制活動が含まれる。

　6月24日付の企業会計審議会内部統制部会の資料によれば、全般統制と業務処理統制は表1のように説明されている。

全般統制と業務処理統制

　全般統制は業務処理統制の機能を継続的に支援し、両者が一体となって、完全で正確な情報の処理の確保に寄与することになる。