やるべきことと、できること、IT全般統制への対応:IT担当者のための内部統制ガイド(4)(2/2 ページ)
IT全般統制への取り組み方
IT全般統制に対する取り組み方を以下の4つのステップで簡単にご紹介します。
| ステップ1 | IT全般統制の計画ステップ |
|---|---|
| ステップ2 | IT全般統制の実行ステップ |
| ステップ3 | IT全般統制の改善ステップ |
| ステップ4 | IT全般統制の運用ステップ |
初めに、IT全般統制の計画ステップですが、ここでは対象とするシステム(アプリケーション)の範囲の決定、文書化と評価レベルの確認、現状の統制レベルの把握の3つを行います。
これによって内部統制整備に必要な作業量や作業時間、費用などの見積もりを行います。ここで留意すべき点は、潜在的なリスクの大きさは、そのシステムにかかわる業務プロセスの重要性に左右されるということです。つまり、システム規模の大小にかかわらず、業務プロセスから見て重要性が高く潜在的なリスクが大きいシステムを、漏れなく洗い出しておく必要があります。特にワークフロー系の稟議システムや、Excelベースで財務情報を直接扱うようなシステムは要注意といえるでしょう。
IT全般統制の実行ステップでは、システムの統制を可視化するための文書化と、有効性評価を行うテスト記述書を作成します。
文書化は、システムの内容を踏まえて外部監査人と協議して決定することが好ましいといわれています。可視化するための文書とは、業務プロセスとアプリケーション・システムの関係を整理したプロセスフローチャート(PFC)とその職務文書類、プロセスフロー上でのリスクとそのコントロールを一覧にしたリスクコントロール・マトリクス(RCM)を主に指します。また、これらの業務が適正に遂行されているかを評価するテスト内容とその手順書、テスト結果を記載した文書も文書化作業に含まれます。
IT全般統制の改善ステップでは、実施ステップにおいてIT全般統制の不備に起因する不備(重大な欠陥)を改善します。本来、IT全般統制は間接的な統制ですから、財務情報に直接影響を与えることはありませんが、「IT全般統制の不備によりIT業務処理統制が無効になるもの」「ほかの統制不備と一緒になることで統制環境に影響を及ぼすもの」「不備を明らかにした後にそれが適切な期間内で解決されなかったもの」の3つの例が欠陥と見なされる可能性として挙げられています。
この中には、外部委託しているシステムの場合も同様に適用されますので、委託先に対してその内容や直接監査できるようになっているかなどを把握しておく必要があります。米国では米国公認会計士協会で定められているSAS70(Statement of Auditing Standard70)や、日本公認会計士協会が定めた監査基準委員会報告第18号「委託業務に係る内部統制の有効性の評価」があります。これらの基準に沿って外部委託しているシステムが監査証明を受けている場合には、その結果を自社の内部統制評価に活用することが可能となります。
IT全般統制の運用ステップは、内部統制を継続的に定着させ統制レベルを維持、向上しつつその効率を高めていくことです。つまり、統制の自動化やシステム環境の整理・統合といったことになります。業務処理統制においては、共有可能な業務プロセスを最適化して、コントロールポイントを減らしそのリスクの低減とテスト回数やサンプル数を減らすといったことが可能となりますが、IT全般統制においても、同様にSOAなどの観点から効率化を行うことが可能です。
今回は、内部統制の具体的な対応として、まずIT全般統制について簡単にご紹介しました。いますぐ取り掛かることができるところから始められることと、間接的な統制なので現時点の作業が大きな手戻りにならないであろうというのがその理由です。
しかし、次回ご紹介するIT業務処理統制は、周知のとおりほぼ全社の業務にかかわるものであり、内部統制プロジェクトチーム(事務局)や外部監査の協力なくしては進めることができません。
現状の最大の問題点は、大手企業では専任化して進めることができる内部統制対応も、中堅企業では兼務でやらざるを得ないということです。よく聞く話ですが監査法人も大手企業に対しては手厚い対応を取っていますが、中堅企業に対しては簡単な質問に対しても「まだ実施基準が未確定だから」といって親身に答えてくれないケースが多いことです。こうした対応への疑問は、今後さらに多くの企業から出てくると思います。
著者紹介
鍋野 敬一郎(なべの けいいちろう)
1989年に同志社大学工学部化学工学科(生化学研究室)卒業後、米国大手総合化学会社デュポン社の日本法人へ入社。農業用製品事業部に所属し事業部のマーケティング・広報を担当。
1998年にERPベンダ最大手SAP社の日本法人SAPジャパンに転職し、マーケティング担当、広報担当、プリセールスコンサルタントを経験。アライアンス本部にて担当マネージャーとしてmySAP All-in-Oneソリューション(ERP導入テンプレート)を立ち上げた。
2003年にSAPジャパンを退社し、現在はコンサルタントとしてERPの 導入支援・提案活動に従事する。またERPやBPM、CPMなどのマーケティングやセミナー活動を行い、最近ではテクノブレーン株式会社が主催するキャリアラボラトリーでIT関連のセミナー講師も務める。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- Windows 11 Homeの次期バージョン、BitLockerを自動で有効化へ
- ゼロトラストはいいことばかりではない? Gartnerが指摘するデメリット
- “ゾンビルーター問題”は企業にとっても無関係の話ではない 対処方法はあるか?
- SSHクライアント「PuTTY」に重大な脆弱性 秘密鍵を窃取できる可能性あり
- 偽のGoogle広告に要注意 ロシアの脅威グループが仕掛けるマルウェア配布手口
- Dellの顧客データ4900万件流出の疑いを複数のニュースサイトが指摘 漏えいの原因は?
- “そこそこオープン”なAI「Llama 3」がビジネスに与える影響は? GPT-4を超える性能が手に入る世界に
- NIST NVDの停滞に対処 CISAが新プロジェクト「Vulnrichment」を発表
- メインフレームが誕生60周年 クラウド時代でも廃れない納得の理由
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
ITmediaはアイティメディア株式会社の登録商標です。