4. 「IT環境への対応」と「ITの利用」
p.48
財務報告に係る内部統制の評価及び監査に関する実施基準
I. 内部統制の基本的枠組み
2. 内部統制の基本的要素
(6)IT(情報技術)への対応
[1] IT環境への対応
IT環境とは、組織が活動する上で必然的に関わる内外のITの利用状況のことであり、社会及び市場におけるITの浸透度、組織が行う取引等におけるITの利用状況、及び組織が選択的に依拠している一連の情報システムの状況等をいう。
組織は、組織を取り巻くIT環境を適切に理解し、それを踏まえて、ITの利用及び統制について適切な対応を行う必要がある。個々の組織を取り巻くIT環境の具体例として、組織が考慮しなければならない項目には以下のものが挙げられる。
イ.社会及び市場におけるITの浸透度
ロ.組織が行う取引等におけるITの利用状況
ハ.組織が選択的に依拠している一連の情報システムの状況(情報システムに依拠しているかどうか、依拠している場合にどのよう
な情報システムに依拠しているか等)
ニ.ITを利用した情報システムの安定度
ホ.ITに係る外部委託の状況
[2] ITの利用及び統制
ITの利用及び統制とは、組織内において、内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること、並びに組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させることをいう。
〔ITの利用〕
ITには、情報処理の有効性、効率性等を高める効果があり、これを内部統制に利用することにより、より有効かつ効率的な内部統制の構築を可能とすることができる。
イ. 統制環境の有効性を確保するためのITの利用
統制環境のうちITに関連する事項としては、例えば、次のものが挙げられる。
(ア) 経営者のITに対する関心、考え方
(イ) ITに関する戦略、計画、予算等の策定及び体制の整備
(ウ) 組織の構成員のITに関する基本的な知識や活用する能力
(エ) ITに係る教育、研修に関する方針
また、ITの利用は、統制環境の整備及び運用を効率的に行っていく上でも重要となる。例えば、電子メールといったITを利用することは、経営者の意向、組織の基本的方針や決定事項等を組織の適切な者に適時に伝達することを可能にし、統制環境の整備及び運用を支援することになる。
一方で、ITの利用は、例えば、経営者や組織の重要な構成員等が電子メール等を用いることにより、容易に不正を共謀すること等も可能としかねず、これを防止すべく適切な統制活動が必要となることにも留意する必要がある。
ロ. リスクの評価と対応の有効性を確保するためのITの利用
組織内外の事象を認識する手段として、またリスク情報を共有する手段としてITを利用することにより、リスクの評価と対応をより有効かつ効率的に機能させることが可能となる。例えば、販売管理部門又は経理部門において、売掛債権の発生や回収を適時に把握し、回収が滞っている売掛債権について別途の管理をする仕組みをITを利用して構築しておくことにより、適切な売掛債権の管理を有効かつ効率的に行うことが可能となる。
また、ITを利用して組織内部におけるリスク情報の共有状況を把握し、これに基づき、リスクが適切な者の間で共有されているかを分析し、その結果に基づいて、リスク情報の共有範囲を見直すなどの内部統制の整備を行うことも考えられる。
ハ. 統制活動の有効性を確保するためのITの利用
ITを利用した統制活動を、適切に設計して業務プロセスに組み込むことにより、統制活動の自動化が可能となる。例えば、適切な生産管理システムを開発し、その中に棚卸の検証プログラムを組み込んでおき、製造部門が製造指図書のデータに従って在庫原材料の出庫数量を入力する手続や倉庫係が日々の原材料の実在庫データを入力する手続等を業務プロセスに組み込むことにより、瞬時に帳簿在庫と実在庫の差を把握し、問題の発見に役立てることが考えられる。
統制活動が自動化されている場合、手作業による統制活動に比べて迅速な情報処理が期待できるほか、人間の不注意による誤謬等の防止も可能となり、結果として、内部統制の評価及び監査の段階における手続の実施も容易なものとなる。一方で、統制活動が自動化されているとプログラムの不正な改ざんや不正な使用等があった場合に、プログラムに精通した者しか対応できず、不正等の適時の発見が困難になるといった問題点も考えられ、適切なアクセス管理等の措置を講じておくことにつき留意する必要がある。
ニ. 情報と伝達の有効性を確保するためのITの利用
ITの利用により、組織内部での情報伝達の手段を効果的に業務プロセスに組み込むことも可能となる。ITを利用した情報システム、特にネットワークが使われている場合には、例えば、必要な承認や作業完了が一定期間に実施されないと、その旨が担当者の上司に伝達される機能など、業務管理に必要な情報の伝達を、業務プロセスに組み込むこともできる。
ホームページ上でメッセージの掲載などITを利用することにより、組織外部に向けた報告を適時に行うことが可能となるとともに、ITを利用して、自社製品へのクレーム情報等を外部から収集したりすることも可能である。ただし、組織外部への情報の公開及び情報の収集にITを利用する場合には、特に外部からの不正な侵入等に対して適切な防止措置を講じるなどの留意が必要となる。
ホ. モニタリングの有効性を確保するためのITの利用
統制活動の有効性に関する日常的モニタリングは、日常の業務活動を管理するシステムに組み込み自動化することで、より網羅的に実施することが可能となる。その結果、独立的評価に当たってリスクを低く見積もることができるため、独立的評価の頻度を低くしたり、投入する人員を少なくすることも可能となる。
一方、ITを利用したモニタリングは、予めモニタリングする指標を設定してプログラミングしておく必要があるため、システム設計段階から計画的に準備を進めることが必要となる。
以上のとおり、内部統制にITを利用することにより、より有効かつ効率的な内部統制の構築が期待できる反面、ITを高度に取り入れた情報システムは、手作業による情報システムと異なり、稼動後の大幅な手続の修正が困難であるとの問題がある。
また、システムの仕様によっては、ITを利用して実施した手続や情報の変更等が適切に記録されないことがあり、そのような場合には、事後の検証が困難となるとの問題が生じうる。
したがって、内部統制の整備及び運用に当たっては、ITを利用した情報システムの特性を十分に理解し、予め計画的に準備を進めるとともに、適切な事後の検証方法等について検討しておく必要がある。
なお、内部統制にITを利用せず、専ら手作業によって内部統制が運用されている場合には、例えば、作業による誤謬等を防止するための内部統制を、別途構築する必要等が生じ得ると考えられるが、そのことが直ちに内部統制の不備となるわけではないことに留意する。
この項のサマリー(編集部)
「IT環境への対応」について実施基準は、「組織は、組織を取り巻くIT環境を適切に理解し、それを踏まえて、ITの利用及び統制について適切な対応を行う必要がある」とし、ITを利用した情報システムの安定度や、ITに関する外部委託の状況などを適切に考慮しなければならないとしている。
「ITの利用」については、「内部統制に利用することで、より有効かつ効率的な内部統制の構築を可能とすることができる」とし、内部統制におけるほかの基本的要素との関係を説明している。
Copyright © ITmedia, Inc. All Rights Reserved.