JICPAのIT委員会が研究報告として、「ITに係る内部統制の枠組み—-自動化された業務処理統制等と全般統制—-」を出している(平成20年1月5日現在は公開草案)。
その中ではIT業務処理統制の分類と、全般統制との関係との概念が整理されているので、ここにまとめておきたい。
- ITを利用した業務処理における内部統制
-
- 予めプログラムに組み込まれている自動化された業務処理統制等
-
- 自動化された業務処理統制
- 自動化された会計処理手続
- 手作業の統制に利用されるシステムから自動生成された情報
- 手作業による内部統制
まず、「予めプログラムに組み込まれている」処理手続を「自動化された業務処理統制等」(注:ここではあえて「自動処理」と呼ぶ)と言い換え、3つに概念上分けている点が注目される。
自動化された業務処理統制
自動処理のうち「情報の正確性、網羅性、適時性、正当性などの達成のためにアプリケーションに組み込まれた」ものを、「自動化された業務処理統制」」と位置づけ、これを内部統制としている。「正確性・・・・などの達成のため」という(経営者の)意図があることが要件として示されているが、まさにこういう意図を持ってプログラムに処理手続を組み込むことが内部統制のデザインを意味していると言いたいのだろう。
自動化された会計処理手続
自動処理のうち「計算、分類、見積、その他会計処理を人間に代わってアプリケーションシステムが行なう手続」と「自動化された会計処理手続」と位置づけている。例えば、減価償却計算や仕訳データから試算表を作成する処理である。
システムから自動生成された情報
自動処理のうち、予め決められた条件に従ってデータをアウトプットして人間による処理や判断に資する目的で行なわれる処理手続を「手作業の統制に利用されるシステムから自動生成された情報」と呼んでいる。エラーリスト、大口取引リスト、異例リスト、売掛金滞留リストなどがこれに当たる。
そもそも統制とは何か
ここで問題になるのが、人間に代わって正確に計算するために自動処理を組み込んでいる場合には、それは内部統制に当たるのかという点である。つまり経営者のアサーションを満足しようという意図があるわけだから統制に分類してもよいのではないかという考え方である。
私見ではあるが、本研究報告は、前提としてITの位置づけを、「(諸元の)インプット⇒IT⇒(会計情報の)アウトプット」とし、データがインプット(他システムとのインタフェースも含む)されるときに起こり得るエラーを防止・発見することを自動化された業務処理統制と称しているようである。したがって、この解釈に従えば、既に入り口で正確性等が担保されたデータを用いて加工する過程に入ったものが、「自動化された会計処理手続」であるから、それは統制には当たらないと考えているようだ。
また、システムから自動生成された情報は、これ自体は決められた条件に従ってシステムに作業させているだけであるから、統制とは言えず、これらのアウトプットを用いて人間が会計処理の判断等を行うところで例えば見積の妥当性を担保するなどの目的があってはじめて統制と言えることになろう。
大胆に言えば、業務処理統制の対象としているのは人間の起こしうるインプット時点、アウトプットの利用時点における虚偽表示に繋がる事象であり、ITが直接関わる業務処理統制は、インプット時点の「自動化された業務処理統制」であるということになる。
全般統制の役割
上記で、会計情報のアサーションを担保する業務処理統制としてはインプット時点での「自動化された業務処理統制」のみが該当するという位置づけになった。しかし統制の目的は、あくまでも虚偽表示に繋がる事象の防止発見であることから、「自動化された業務処理統制」を含むその他の処理手続が、経営者の意図したとおりに機能しなければ、虚偽表示の可能性は増してくることになる。したがって、上記の全ての処理手続が「経営者の意図したとおりに整備され、継続的に運用されることを支援される仕組み、活動」が必要となるが、これが全般統制と位置づけられているものである。
全般統制レベルでのリスク
「枠組み」の「3.全般統制のリスク評価」においての分類は、開発、変更、運用、情報セキュリティの各分野の管理手続が十分に整備(業務処理統制が意図したとおりにデザインされない)、運用されないことをリスクとしているが、これはリスクではなく統制の不備に過ぎないのではないか。
私見では、全般統制のレベルで財務報告に及ぼすリスクは次のように考えられる。
- 統制の実装が仕様と異なる
- 予め整備された業務処理統制を
-
- 迂回する
- 無効化する
- 無視する
- 適切に生成されたデータが不当(ないし偶然)に改変される
これらのリスクは、以下のプロセスで起こりうると考えられている。「枠組み」ではこれらを適切に行うことを統制目標と言っているが、統制目標とは「リスクの軽減」であるから、これらはリスクを軽減するための手続が置かれる場所であり、それ自体は統制目標ではないと考える。
- プログラムの開発管理プロセス
- プログラムの変更管理プロセス
- システムの運用管理
- プログラムとデータの情報セキュリティ管理
リスク | 全般統制プロセス | |||||
リスク類型 | 原因例示 | 開発 | 変更 | 運用 | アクセス(セキュリティ) | |
統制の実装が仕様と異なる | 仕様書レヴュ、導入テストが不十分。 | x | x | – | – | |
統制が迂回される | 所定外の汎用画面で処理できる | – | – | x | x | |
統制が無効化される | 権限のない人に与えられる | – | – | x | x | |
統制が無視される | 承認者のIDで処理される | – | – | x | x | |
プログラムが改変される | 勝手にパッチがあてられる | – | – | x | x | |
データが改変される | DBに直接触る | – | – | x | x |
Tags: IT統制