コラム
IT業務処理統制とは?IT全般統制との違いや構成する5要素を解説
昨今、ITの重要性が高まっており、企業内でもITに関する取り扱いを定めなければなりません。企業の取り決めとしては、「内部統制」や「IT統制」が重要になってきます。最近はリモートワークの普及により、社外から社内システムにアクセスする機会が増えているため、利用方法などを定めるIT統制の役割が高まっています。
しかし、IT統制と言っても何から手を付けていいのか分からない方も多いでしょう。
そこで今回は、IT統制の要素である「IT業務処理統制」について解説します。
IT業務処理統制とは内部統制に含まれる
IT業務処理統制は、内部統制においてどの位置づけになるのでしょうか。ここでは、内部統制についての解説と、IT業務処理統制の位置づけを解説します。
内部統制とは
内部統制とは、企業でおこなわれるさまざまな事業を健全に保つための仕組みです。内部統制を定めることで、何か問題が発生したときでもすぐに適切な行動を取れます。
内部統制については、以下の記事で詳しく解説しているので参考にしてください。
▶ 内部統制とは
内部統制におけるIT業務処理統制の位置づけ
IT業務処理統制はIT統制に含まれる要素の一つで、IT統制は内部統制に含まれています。つまり、関係を表すと 内部統制>IT統制>IT業務処理統制 という形です。
内部統制で企業全体の方針を定め、IT統制で情報システムに絞った決まりを制定します。その後、IT業務処理統制でより詳細な情報システムの仕組みを定義するのです。
IT業務処理統制とIT全般統制の違い
IT業務処理統制とIT全般統制は、どちらともIT統制を構成する要素です。
IT業務処理統制は、事業活動のために必要な業務をすべて正しく処理・記録されるために必要な業務プロセスを組み込むことを意味します。
例えば、販売データの数量や金額を間違えないためにデータ送信時のチェック機能を強化するなどの方法が考えられます。
一方でIT全般統制は、企業の経営が上手く回るような体制を作るなどの環境作りから実現していこうという考え方です。
例えば、社外から社内システムにアクセスする場合に、安全な経路を使ってアクセスする仕組みを整える等の対応が挙げられます。
つまり、IT全般統制はITの基本要件を定めているもので、IT業務処理統制はより具体的なデータの入出力などの部分を意味しています。
下記の記事でIT統制全体を解説しているので、是非参考にしてください。
▶ IT統制とは
IT業務処理統制を構成する5要素
IT業務処理統制には、大きく5つの要素があります。それぞれの要素を定義することで、IT業務処理統制としての効果が発揮されます。
ここでは、5要素について詳しく解説していきましょう。
1.入力管理
1つ目の要素は「入力管理」です。
入力管理は、情報システムで扱うデータの作成から保存までを管理する要素です。
データ入力の方法は、
・手作業
・CDやDVDROMなどの磁気媒体
・EDI等のデータ転送
・インターネットを経由した送信
などです。
データ入力に不正や誤りがあった場合、企業の財務情報に影響が出る危険性が考えられます。したがって、不正なデータが混入しない正しいデータ入力の統制を図る必要があるのです。
統制の具体例としては、データ入力までに発生する一連の流れを落とし込んだ業務フローを作成したり、社内の情報システムに関する管理規定を作成するなどです。
また、定期的に入力管理ルールが徹底されているかを評価しなければなりません。
2.データ管理
2つ目の要素は「データ管理」です。
データ管理はデータの授受、交換、複製及び廃棄に伴う一連の作業の管理です。
最近はさまざまなシステムのクラウド化によって、企業の受注データや購買データ等を企業外部で入力して送信するケースが多くみられます。こうした企業の機密情報を取り扱う場合には、プログラミングで統制を図るための仕組みを構築しているのが望ましいとされています。
たとえば、データの送信元となる企業が正当な得意先であるかどうかを判定するために、ログイン認証機能を組み込むなどです。ログイン認証による制御が行われておらず、誰でもデータを送信できてしまう場合、不当な取引先のデータを入力させてしまうことになってしまいます。
データの不正入力をさけるためにもデータ管理体制を明文化し、不正アクセスや不正利用を防止しつつ、個人情報の保護に向けたアクセス管理やモニタリングをおこなうのが効果的です。
3.出力管理
3つ目の要素は「出力管理」です。
出力管理は出力データの作成にはじまり、データの検証や保管といったデータ出力までの作業を管理することです。出力されたデータに誤りや不正が検出された場合、出力データを利用した資料や帳票にも影響が出てしまいます。
たとえば、製品の出荷台数などに誤りがあった場合に、その後の売上に関わる資料へ影響が出てしいます。その結果、企業財務情報の信頼性を担保できないため、社会的なイメージも下がってしまいます。
不正な出力がおこなわれないためにも、情報の出力手続や承認等のルールを定めておく必要があります。
4.スプレッドシート等
4つ目の要素は「スプレッドシート等」の利用についてです。
スプレッドシートとは、表計算ソフト全般を指します。具体的には、ExcelやGoogleスプレッドシートなどが該当します。
スプレッドシート等の利用は業務の効率化につながり、財務報告に関する資料の作成にも活用されています。特に、Excelマクロ(VBA)や、Googleスプレッドシートと連携して利用ができるGAS(Google Apps Script)では、プログラミング処理を組み込むことができるため、処理の自動化にも最適です。
しかし、スプレッドシート等は利用方法によって機密情報の漏洩につながるケースがあります。例えば、スプレッドシートの共有を特定の個人ではなくリンクを知っている全員とした場合、スプレッドシートのリンクURLさえ知っていればアクセスできてしまいます。他にも、面倒だからといってExcelファイルにパスワードをかけずにメール添付して送った場合、Excelファイルを読み取られてしまうリスクがあります。
したがって、スプレッドシート等の利用をする場合には、情報漏洩につながる危険性を理解した上で利用を進めていきましょう。
また財務報告等の利用時には、関数の間違いやプログラムの間違いによって虚偽の財務状態を報告してしまい、企業全体の信頼性を落としてしまう可能性もあります。
スプレッドシート等で財務報告等の企業全体に関わる情報を扱う場合は、承認を得たシートだけを利用の対象とし、処理の正確性が完全にチェックされている必要があります。
5.リスク管理
5つ目の要素は「リスク管理」です。
IT業務処理統制では、データ不正などの想定されるリスクを回避し、財務上の信頼性を確保することが重要になります。企業で定めたIT業務処理統制が適切に運用されているのかどうかについては、リスクコントロールマトリックスを作成すると分かりやすいです。
リスクコントロールマトリックスとは、想定されるリスクに対し目標を立てて、現在の状況を踏まえつつ評価していくものです。
具体的なリスクコントロールマトリックスについては、経済産業省が発表した「システム管理基準 追補版(財務報告に係る IT 統制ガイダンス) 」の「付録6. リスクコントロールマトリックスの例」で紹介されています。そのまま採用するのではなく、企業に合わせた形でカスタマイズしていきましょう。
内部統制・IT統制の事例紹介
キングソフト株式会社様|資料が分かりやすくこちらの要望を理解した上で柔軟に対応いただいた
【キングソフト株式会社様 内部監査室 中村室長】ボリューム感のある内容を依頼していましたが、すんなり進めていただきました。こちらが要望していることをきちんと理解していただいて、かつ、それが正しい形で返ってきていて、それが予算内に収まっているというところが、経営層と話をする立場として非常にありがたかったです。
株式会社ASNOVA様|コンサルの概念が覆された、こちらへ寄り添ってASNOVAメインの進め方をしていただけた
【株式会社ASNOVA 総務人事部 田中部長、口田係長】弊社の課題や”やりたいこと”と逆に”やらないこと”または”今後やりたいこと”に対して柔軟に提案してもらえたので、ぜひ一緒にやっていきたいと思いました。弊社の「できていること」「できていないこと」「今後やるべきこと」を第三者の視点からチェックしていただき、私たちが気づけていなかったことを知ることができました。
株式会社イノフィス様|同じチームメンバーとして技術面と精神面で支えられ、会社としてはメリット・デメリットを見極めた適切な IT 投資を実現
【執行役員 人事総務部長・松原様、人事総務部・渡邉様】全体を可視化し、課題を見極めた上でシステムを導入できるようになり、適切なIT投資ができています。IT統制は指摘事項がなにもなく監査を終えることができました。