前回の投稿から1年以上も空いてしまいました。
大変お待たせいたしましたが、「実務経験者が解説するIT統制の基礎マガジン」の第3回は、IT全般統制について解説していきます。

IT全般統制とは

第2回で解説した通り、IT全般統制はIT業務処理統制の土台となる統制です。

IT業務処理統制については次回以降で解説しますが、ざっくり説明すると「ITを使用して自動化・効率化した業務プロセスに対しての統制」がIT業務処理統制です。
たとえば「日々の売上は会計システムに手入力せず、内製の販売管理システムから会計システムに自動連携する」という業務プロセスとなっている場合はIT業務処理統制の対象となります。
処理を自動化することでヒューマンエラーを防止して業務効率化も実現できますが、その処理にバグがあった場合は売上など財務諸表に関わる数字が大きな影響を受けることになります。
そのため、システムによる処理が正しい結果を出力していることを確認して評価するのがIT業務処理統制の目的です。

IT全般統制は、IT業務処理統制で使用している各システムが適切に管理・運用されていることを評価するのが目的です。
業務内容までは踏み込まず、そのシステムの開発や運用管理などのプロセスが適切に定義・運用されているかどうかを主眼に置いた統制です。
「販売管理システムのロジックに不備がないことをIT業務処理で評価しても、そのシステムのDBアカウント管理が適当で誰でもDBの値を更新できるとそれが抜け道になってしまうので、販売管理システム自体の運用管理が適切にされていることをIT全般統制で評価しましょう」ということです。

IT全般統制の対象

IT全般統制の対象となるシステムは、評価対象事業の各業務プロセスで使用しているシステムすべてです（評価対象事業については前回の「内部統制の評価範囲」の解説をご確認ください）。
そのため、その会社で使用しているすべてのシステムではなく、以下のシステムのみが対象となることがほとんどです。

• 会計システム

• 評価対象事業で使用している各システム

• 承認、決裁に使用しているワークフローシステム
  

IT全般統制の評価項目

具体的にIT全般統制ではどのようなことを評価するのか解説していきます。
実施基準には、IT全般統制は以下の4つの観点で評価すると記載されています。

1. システムの開発、保守に係る管理

2. システムの運用・管理

3. システムの安全性の確保

4. システムの外部委託に関する契約の管理

どのような評価項目があるのか順に見ていきましょう。
なお、今回紹介する評価項目と統制内容についてはあくまで例であり、どのようなリスクがありどのように統制すべきかは監査法人と協議しつつ自社で検討すべきであることにご注意ください。

1.システムの開発、保守に係る管理

• システムの開発、調達について経営者の承認を得ているか

• システムの開発の過程が適切に記録されているか

• 開発したシステムのテストは適切に実施されているか

• 本番環境へリリースする際は適切なメンバーによる承認を受けているか

2.システムの運用・管理

• システムに障害が発生した際の状況の把握、分析、解決等の対応が適切に行われているか

• システムのバックアップは適切に取得されており、復元可能な状態になっているか

3.システムの安全性の確保

• システムに認証の仕組みが備わっており、アカウントは利用者に個別に発行されているか

• システムのアカウント管理は適正に行われているか

• システムのデータへのアクセスログが追跡できるようになっているか

• システムのデータが保管されている場所の安全性は確保されているか

4.システムの外部委託に関する契約の管理

• システムの開発を外部に委託する場合、委託契約の内容は適切に管理されているか

• 外部委託先業者について、定期的に評価・モニタリングをしているか

IT全般統制チェックリスト

IT全般統制では、評価対象のシステムごとにチェックリストを作成します。
チェックリストには、先述の評価項目それぞれについて統制手続を定めて記載します。
後に解説する整備評価・運用評価で必要となる証憑・頻度についても併せて記載しておくと良いでしょう。
あくまでサンプルですが、以下のようなチェックリストを作成します。

作成したチェックリストは毎期見直す必要があります。開発部門にヒアリングして開発プロセスや使用するツールが変わっていれば、統制手続もそれに応じて見直しましょう。
ITに関するインシデントが発生したりリスクの見落としがあった場合などは、それらに対する統制手続も随時追記していく必要があるでしょう。
また、チェックリストを作成しただけで完了ではなく、定めた統制手続に従った運用を徹底してもらわなければ意味が無いので、開発部門にもきちんと周知しておきましょう。

IT全般統制の整備評価・運用評価

整備評価と運用評価では、先の手順で定めた各評価項目の統制手続がきちんと運用されていることを確認します。
チェックリスト作成時に定めた証憑を採取することで、正しく運用されているかどうかの評価を実施します。
整備評価では各証憑のサンプルを1つずつ、運用評価では「月次の場合は2件、日次の場合は25件」など実施頻度により定められた数の証憑を対象期間からランダムでピックアップして採取します。
また、内部統制担当が集めた証憑だけではなく、監査法人による評価のためさらに追加の証憑を求められることもあります。

証憑の採取は内部統制担当者自身が実施する場合もありますが、開発系のツールにアクセスする権限がないことも多いと思いますので、開発部門のエンジニアに採取を依頼することがほとんどです。
つまり、整備評価と運用評価の時期にはエンジニアにも内部統制対応の工数がかかるので、あらかじめ担当者を決めてアサインしてもらうなどの調整も必要となります。

IT全般統制の負荷を減らす方法

IT全般統制は、評価対象となるシステムが増えるごとに採取する証憑も増え、評価の負荷も大きくなってきます。
そこで、SaaSやパッケージ製品を活用することでIT全般統制の負荷を減らすことが可能です。SaaSやパッケージ製品は内製システムと違い開発管理はベンダーが実施するため、自社で管理する必要がありません。SaaSの場合はインフラの管理も不要となります。
外部のリソースを活用したからといって内部統制の評価対象から除外することはできませんが、委託先も同様に内部統制を自社で構築しており有効であることが確認できれば、それを評価の代替として利用することができます。
委託先が「受託業務に係る内部統制の保証報告書（SOC1）」を取得していればそれをそのまま利用できます。

まとめ

今回紹介したように、IT全般統制の対象となったシステムでは開発や運用管理のプロセスを明確に定義して遵守する必要があるため、好き勝手に開発はできなくなります。
上場に伴い内部統制の構築がマストになり、IT全般統制による開発効率の低下が懸念される場合もありますが、重要なのは「適切なコントロールが設けられているか」ということです。
ウォーターフォールでの開発のように、すべての工程で承認やドキュメント作成を必須にしろと言っている訳ではなく、要所要所での責任者の承認や構成変更の管理がきちんとできていれば、アジャイルでの開発でもIT統制に対応することは可能です。
IT全般統制は潜在的なリスクを回避するために非常に有効なしくみですので、開発部門とコミュニケーションを取りつつ、エンジニアに負担が少なく実効性のある仕組みを会社全体で構築していきましょう。

次回はIT統制の中で最も大変かつ重要なIT業務処理統制について解説する予定です。