IT業務処理統制とは?IT全般統制との違いや構成する5要素を解説

内部統制・IT統制

昨今、ITの重要性が高まっており、企業内でもITに関する取り扱いを定めなければなりません。企業の取り決めとしては、「内部統制」や「IT統制」が重要になってきます。最近はリモートワークの普及により、社外から社内システムにアクセスする機会が増えているため、利用方法などを定めるIT統制の役割が高まっています。

しかし、IT統制と言っても何から手を付けていいのか分からない方も多いでしょう。

そこで今回は、IT統制の要素である「IT業務処理統制」について解説します。
 
 

IT業務処理統制とは内部統制に含まれる

 
IT業務処理統制は、内部統制においてどの位置づけになるのでしょうか。ここでは、内部統制についての解説と、IT業務処理統制の位置づけを解説します。
 

内部統制とは


内部統制とは、企業でおこなわれるさまざまな事業を健全に保つための仕組みです。内部統制を定めることで、何か問題が発生したときでもすぐに適切な行動を取れます。

内部統制については、以下の記事で詳しく解説しているので参考にしてください。

▶ 内部統制とは
 

内部統制におけるIT業務処理統制の位置づけ


IT業務処理統制はIT統制に含まれる要素の一つで、IT統制は内部統制に含まれています。つまり、関係を表すと 内部統制>IT統制>IT業務処理統制 という形です。

内部統制で企業全体の方針を定め、IT統制で情報システムに絞った決まりを制定します。その後、IT業務処理統制でより詳細な情報システムの仕組みを定義するのです。
 
 

IT業務処理統制とIT全般統制の違い

 
IT業務処理統制とIT全般統制の違い

IT業務処理統制とIT全般統制は、どちらともIT統制を構成する要素です。

IT業務処理統制は、事業活動のために必要な業務をすべて正しく処理・記録されるために必要な業務プロセスを組み込むことを意味します。
例えば、販売データの数量や金額を間違えないためにデータ送信時のチェック機能を強化するなどの方法が考えられます。

一方でIT全般統制は、企業の経営が上手く回るような体制を作るなどの環境作りから実現していこうという考え方です。
例えば、社外から社内システムにアクセスする場合に、安全な経路を使ってアクセスする仕組みを整える等の対応が挙げられます。

つまり、IT全般統制はITの基本要件を定めているもので、IT業務処理統制はより具体的なデータの入出力などの部分を意味しています。

下記の記事でIT統制全体を解説しているので、是非参考にしてください。

▶ IT統制とは
 
 

IT業務処理統制を構成する5要素

 
IT業務処理統制を構成する5要素
 
IT業務処理統制には、大きく5つの要素があります。それぞれの要素を定義することで、IT業務処理統制としての効果が発揮されます。

ここでは、5要素について詳しく解説していきましょう。
 

1.入力管理


1つ目の要素は「入力管理」です。

入力管理は、情報システムで扱うデータの作成から保存までを管理する要素です。

データ入力の方法は、
・手作業
・CDやDVDROMなどの磁気媒体
・EDI等のデータ転送
・インターネットを経由した送信
などです。

データ入力に不正や誤りがあった場合、企業の財務情報に影響が出る危険性が考えられます。したがって、不正なデータが混入しない正しいデータ入力の統制を図る必要があるのです。

統制の具体例としては、データ入力までに発生する一連の流れを落とし込んだ業務フローを作成したり、社内の情報システムに関する管理規定を作成するなどです。

また、定期的に入力管理ルールが徹底されているかを評価しなければなりません。
 

2.データ管理


2つ目の要素は「データ管理」です。

データ管理はデータの授受、交換、複製及び廃棄に伴う一連の作業の管理です。

最近はさまざまなシステムのクラウド化によって、企業の受注データや購買データ等を企業外部で入力して送信するケースが多くみられます。こうした企業の機密情報を取り扱う場合には、プログラミングで統制を図るための仕組みを構築しているのが望ましいとされています。

たとえば、データの送信元となる企業が正当な得意先であるかどうかを判定するために、ログイン認証機能を組み込むなどです。ログイン認証による制御が行われておらず、誰でもデータを送信できてしまう場合、不当な取引先のデータを入力させてしまうことになってしまいます。

データの不正入力をさけるためにもデータ管理体制を明文化し、不正アクセスや不正利用を防止しつつ、個人情報の保護に向けたアクセス管理やモニタリングをおこなうのが効果的です。
 

3.出力管理


3つ目の要素は「出力管理」です。

出力管理は出力データの作成にはじまり、データの検証や保管といったデータ出力までの作業を管理することです。出力されたデータに誤りや不正が検出された場合、出力データを利用した資料や帳票にも影響が出てしまいます。

たとえば、製品の出荷台数などに誤りがあった場合に、その後の売上に関わる資料へ影響が出てしいます。その結果、企業財務情報の信頼性を担保できないため、社会的なイメージも下がってしまいます。

不正な出力がおこなわれないためにも、情報の出力手続や承認等のルールを定めておく必要があります。
 

4.スプレッドシート等


4つ目の要素は「スプレッドシート等」の利用についてです。

スプレッドシートとは、Googleが提供しているWebベースで扱える表計算ソフトです。Office製品のExcelに近い機能を持っており、Googleのアカウントさえ持っていれば無料で利用ができます。

スプレッドシート等の利用は業務の効率化につながり、財務報告に関する資料の作成にも活用されています。とくに、スプレッドシートと連携して利用ができるGAS(Google Apps Script)は、スプレッドシートのセルを使ったプログラミング処理が組み込めるため、処理の自動化にも最適です。

しかし、スプレッドシート等は利用方法によって機密情報の漏洩につながるケースがあります。例えば、スプレッドシートの共有を特定の個人ではなくリンクを知っている全員とした場合、スプレッドシートのリンクURLさえ知っていればアクセスできてしまうのです。

したがって、スプレッドシート等の利用をする場合には、情報漏洩につながる危険性を理解した上で利用を進めていきましょう。


また財務報告等の利用時には、関数の間違いやプログラムの間違いによって虚偽の財務状態を報告してしまい、企業全体の信頼性を落としてしまう可能性もあります。

スプレッドシート等で財務報告等の企業全体に関わる情報を扱う場合は、承認を得たシートだけを利用の対象とし、処理の正確性が完全にチェックされている必要があります。
 

5.リスク管理


5つ目の要素は「リスク管理」です。

IT業務処理統制では、データ不正などの想定されるリスクを回避し、財務上の信頼性を確保することが重要になります。企業で定めたIT業務処理統制が適切に運用されているのかどうかについては、リスクコントロールマトリックスを作成すると分かりやすいです。

リスクコントロールマトリックスとは、想定されるリスクに対し目標を立てて、現在の状況を踏まえつつ評価していくものです。

具体的なリスクコントロールマトリックスについては、経済産業省が発表した「システム管理基準 追補版(財務報告に係る IT 統制ガイダンス) 」の「付録6. リスクコントロールマトリックスの例」で紹介されています。そのまま採用するのではなく、企業に合わせた形でカスタマイズしていきましょう。

一覧を見る>

内部統制・IT統制の事例紹介

一覧を見る>

最近の活動・コラム