第4回 IT全般統制
2008年4月にも施行される予定の日本版SOX法をテーマに解説する連載企画。今回はIT全般統制ついて、富士通グループのコンサルタントがご紹介いたします。
1.IT全般統制とは
財務情報の処理を含めて、企業のさまざまな業務活動遂行に情報システムが高度に関与するようになってきました。現在では、取引発生時点で財務源泉情報が情報システムに入力され、複数の情報システム間の連携をへて会計システムに取り込まれるようになっており、業務プロセスと情報システムが強固に結びついています。したがって、財務情報の正確性を保証するためには、業務プロセスだけでなく情報システムについても正しく統制がおこなわれていることが必要になります。
IT全般統制とは、業務活動を支える情報システムが正しく構築され運用されるための統制活動です。
2.IT全般統制の内容
情報システムが正しく構築され運用されるための統制活動を大まかに分類すると
- プログラム開発
- プログラム変更
- 運用
- アクセス制御
となりますが、IT全般統制ではこれに『ITを取り巻く環境』を加えて構成要素と考えます。ITを取り巻く環境には、IT戦略と企業方針の整合性の保証、IT部門の職務分離状況(部門間/部門内)、ITリテラシー向上の施策(全社員向け/IT部門向け)、情報セキュリティ戦略に則った施策、ITリスク分析、システムトラブルや災害に起因するシステム停止時のビジネス影響度分析、などの内容が含まれます。
なお、上記の構成要素の分類方法は一例であり、各社でIT全般統制を整備する際には会社として考える構成要素を定義することになります。
また、IT全般統制には各情報システム個別の機能は含まれないことに注意してください。各情報システム個別の機能は連載第1回で触れている「ITアプリケーション統制」で扱われることになります。
ただし、連載第3回で説明したとおり、ITアプリケーション統制の文書化はIT部門が担当する場合があります。IT全般統制の文書化を実施する際は、ITアプリケーション統制についても最低限の統制活動について同時に調査すると効率的です。
たとえば、情報システムごとに実装されているシステム間データ連携時のチェック機能、ジョブ実行時の例外検出/対応処理、業務アプリケーションレベルのアクセス制限などはIT全般統制にも関係する統制活動ですので、IT全般統制の文書化時に同時に調査するとよいでしょう。
3.IT全般統制の文書化作業
IT全般統制の整備は、現状の統制活動を調査する『文書化』、文書に記述された統制活動がリスクに対して有効か無効か記述された通りに実施されているかを検証する『有効性評価』、評価時に見つかった不備を改善する『改善』、改善状況の『フォローアップ』のサイクルをまわすことによりおこないます。この回では、IT全般統制での文書化作業の進め方をご紹介いたします。なお、有効性評価以降の作業は連載第3回でご説明した流れと同じになります。
(1)職務分掌状況の把握
IT全般統制の文書化では、まずIT部門の役割を明確にします。会社全体でのIT部門の位置づけ、IT部門内での役割分担などを組織図や業務分掌などをもとに確認していきます。
(2)システム概況の把握
財務情報に関係する情報システムについて、『システム相関図』を作成します。その際、扱っているデータの内容や情報システム間での連携方法・頻度、運用環境/利用環境のロケーションなども把握します。基本的には業務プロセスレベル統制の文書化で作成した業務フローに登場する情報システムを対象としますが、それ以外の情報システムを含めた全社システム全体像が作成されていれば、それをベースにしても構いません。ただし、最新の情報が反映されていることを確認してください。
次に財務情報に関係する情報システムと各業務プロセスとの関連を表にした『サイクルマップ』を作成します。この際、各情報システムの諸元(ハードウェア、ネットワーク、ソフトウェアなど)について簡単に付記します。
(3)管理単位の整理
サイクルマップに記載した情報システムは、ハードウェア環境や体制によって管理方法が異なる場合が多い傾向にあります。そこで「2.IT全般統制の内容」でのべた構成要素単位で共通/個別の判定をおこない、構成要素ごとに管理単位を把握します。以降の作業は管理単位ごとに実施することになります。
なお、以降の作業を進める過程で共通/個別の判定に変更を加える場合が出てきますので、管理単位は必要に応じて見直してください(文書化作業終了後も最低でも一年に一度、見直します)。
(4)業務フローの作成
管理単位ごとにITに関わる業務フローを内部統制のポイントがわかるレベルで作成します。対象とする業務は「2.IT全般統制の内容」でのべた構成要素単位のうち、『ITを取り巻く環境』をのぞいたものになります。
(5)リスク・コントロール・マトリクス(RCM)の作成
管理単位ごとにIT全般統制のRCMを作成します。
IT全般統制のRCMは、業務フローからリスクを抽出して作成するのではなく、RCMのテンプレートをさだめ、チェックシートに記入するかのようにして、現在実施している統制活動を記述していくのがよいでしょう。たとえば、COBITフレームワークをベースにしてRCMテンプレートを策定することができます。
RCM作成の際は、単なるプロセスを列挙するのではなく、統制活動に焦点をあてて記述してください。統制活動に該当する内容は「業務分掌・職務分離」「承認行為」「入力時チェック」「例外や異常の検出」「照合・チェック」「指標値の設定」「システム間インターフェースの正確性保証」「アクセス制限」「経営者・責任者によるモニタリング」などです。これらの内容が含まれるようにし、誰がいつ実施するのかを5W2Hで記載してください。
以上で文書化作業が終了となります。
4.IT全般統制の整備を進めるうえで重要なこと
IT全般統制の不備を改善するため、個々の改善項目の優先度を考慮して改善計画を立案します。複数の情報システムで改善が必要となった場合、改善項目の優先度は各情報システムの重要度が判断基準のひとつとなります。場合によっては重要度が低く、かつ想定されるリスクが小さい情報システムでは、システム改善をおこなわずにリスクを許容するという経営者・責任者判断もありえます。
しかしながら、各情報システムの重要度の判定や、システムを取り巻く脅威に対するITリスク分析を実施している会社がどの程度あるでしょうか。多くの会社のIT全般統制をコンサルティングしてきましたが、システム部門が独自にシステム重要度を決めていたり、ITリスク分析を実施していなかったりする会社が見うけられました。日本版SOX法対応におけるIT全般統制の監査にて、ITリスク分析が未実施であることが「重要な欠陥」という判定に直結することはないと予想されますが、本来であればIT全般統制の文書化作業前に実施すべきであるとご認識ください。
次回は、日本版SOX法対応で留意すべきことについて、ご紹介する予定です。
SOX法: Sarbanes-Oxley(企業会計・財務諸表の信頼性を向上させる目的で成立したアメリカ合衆国の連邦法。法案を提出したポール・サーベンス(Paul Sarbanes)上院議員、マイケル・G・オクスリー(Michael G.Oxley)下院議員の名前から、サーベンス・オクスリー法=略称SOX法と広く一般で言われている)
RCM: Risk Control Matrix(リスク コントロール マトリックスの略。業務プロセスに潜在するリスクと、それに対応するコントロール(統制活動)の状況を定義した文書)
COBIT: Control OBjectives for Information and related Technology(情報システムコントロール協会 (ISACA)とITガバナンス協会 (ITGI)が1992年に作成を開始した情報技術 (IT) 管理についてのベストプラクティス集、またはフレームワーク)
5W2H: (だれが(Who), いつ(When), どこで(Where), なにを(What), なぜ(Why),どのように(How), どのくらい(How much)の略。ビジネス上の意思決定条件の要素定義)
2006年6月 公開
〔富士通株式会社 コンサルティング事業本部〕
ご紹介した記事、及びコンサルティングに関するお問い合わせ
ご紹介した記事やサービスの詳細や、コンサルティングに関してのご質問は、以下のページにあるWebフォーム、またはお電話でお問い合わせください。
この記事は、お客様の変革と成長の実現をご支援する 株式会社 富士通総研が提供しています。
ジャーナル最新のテーマ
お客様の声をお聞かせください
富士通ジャーナルに掲載している記事やコンテンツについてのご意見・ご感想を、ぜひお寄せください。
お寄せいただいたご意見・ご感想については、富士通からの回答をお約束するものではありません。ご了承ください。
なお、富士通からのご回答を必要とするお問い合わせについては、
富士通ジャーナルに関するお問い合わせをご利用ください。
