IT内部統制の文書化体系

IT内部統制の文書化体系には、企業の業務プロセスに対する「内部統制の文書化」と業務プロセスにプログラムとして組み込まれ、そのIT運用に係る「IT統制の文書化」が含まれます。

これらの文書を文書体系としてまとめてみましょう。

内部統制の文書化は企業の業務プロセスを対象とする「内部統制の文書」とIT化された業務プロセスを対象とする「IT内部統制の文書」があります。

(1)「内部統制文書」
★「全社レベルの統制」では、連結子会社も含めた全社レベルの統制やコンプライアンス(法令順守)をCOSOフレームに準拠して記述します。全社方針となる部分で重要度の高い文書です。

グループ連携会社も含めたITに関する基本方針やグループ共通の規定類、基本方針作成のための質問書などがこの分野の文書です。

★「業務レベルの統制」は適用業務の中で統制対象業務プロセスに対する統制記述です。内部統制文書化の中核となる文書です。監査時には全社レベルの統制が適正であるとの観点の下で、重点的に監査すべき業務プロセスを設定し、業務レベルの統制の監査が実施されます。

RCM、業務フローチャート等とこれらにもとづく「個別業務規定」が基本文書です。

(2)「IT統制文書」には、IT業務プロセスに係る「ITの全社レベル統制」、「IT全般統制」、そして「アプリケーション統制」のIT統制の文書化が必要でした。

★ITの全社レベル統制として、グループ連結子会社を含めたCOBITによるIT業務に関するIT ガバナンス方針として、「情報システム基本方針」があり、

★IT全般統制として、COBITの4つのドメインに対するIT業務やセキュリティ整備等とIT業務規定書が基本文書であり、「情報システム企画・開発規定」、「情報システム運用・保守規定」、「情報セキュリティ管理規定」、「情報システム外部委託規定」などが策定されます。

★IT統制の「アプリケーション統制」の文書化は、内部統制文書の業務規定書の中に含まれることになる。ただし、ERP等のパッケージを活用する場合、この統制を踏まえた記述が出来ている場合が多く、内部統制の個別業務規定やマニュアルに包含されることになります。

(3)その他に、「内部統制監査実施の要領書」などが必要となってきます。

今回はここで終わりです。
次回は「IT内部統制の導入プロセス」をテーマに取り上げます。