IT統制の構造

 内部統制は適正な財務諸表を作成し提出する業務プロセスの統制ですから、これらの
 業務は通常IT化された業務システムとして構築されています。そうしますと、内部
 統制はIT化された業務を統制する仕組みが出来上がらなければならなくなります。
 IT統制の考え方はこの観点から出てきました。その提案はITGovernance Institute
 から「サーベインズ・オクスリー法(企業改革法)遵守のためのIT 統制目標」として
 行われました。暫く、このメルマガの話のネタはこの提案を出典とした内容になり
 ます。
 IT化された業務システムを統制しようと考えますと、その統制分野を決めなければ
 なりません。その分野は業務プロセスをシステム化するプログラミングに組み込まれ
 た処理としての「アプリケーションプログラムの分野」、このアプリケーション
 プログラムを安定的に稼動させる「インフラ環境の分野」、そして経営管理のための
 IT化方針と統治に係る「IT化環境の分野」がある。
 それぞれをIT統制では「アプリケーション統制」、「IT全般統制」、「全社レベルの
 統制」と言います。
 日本版SOX法で考えて見ましょう。
 この法律は“財務報告の信頼性”が目的でしたから、勘定科目のデータを正確に提供
 できる業務プロセスの仕組み、職務分掌や科目体系が必要になります。
 そのためには、業務を遂行するために構築されたITシステムとしての経理システム、
 このシステムを構成する経理プログラムがその処理の正確性等を統制しなければなり
 ません。この統制分野を「アプリケーション統制」とし、統制項目である監査事項を
 “網羅性”、“正確性”、“妥当性”、“承認”、“職務の分離”と定義していま
 す。
 さらに、このアプリケーションシステムを安定的に支えるためには、共通サービスと
 してのIT インフラが必要になります。この統制分野を「IT全般統制」とし、
 統制すべきIT業務を“プログラム開発”、“プログラム変更”、“コンピュータ・
 オペレーション”、“プログラムのデータアクセス”をその分野としました。
 「アプリケーション統制」や「IT全般統制」を実施するためには、その実施の指針と
 なるIT 化対処の方針を策定・公示する分野があります。この分野を「全社レベルの
 統制」とし、企業の方針を含めたITガバナンスとしての方針を設定することを提示し
 ています。
 内部統制に対するIT 内部統制を実施する分野は「全社レベルの統制」、「IT全般
 統制」、「アプリケーション統制の3つの分野の業務統制が求められることになり
 ます。
 今回はここで終わります。
 COSOはIT統制の仕組みづくりはCOBITを採用するのが手っ取り早いとして、推奨して
 います。
 次回は「COBITにおけるITガバナンス」をテーマに取り上げます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする