ITに関する内部統制は2つある。
「IT全般統制」と「IT業務処理統制」である。
IT全般統制とは、ITシステムを構築したり運用・変更するときのルールを定めること、データ(特に財務報告に関する会計データ)のバックアップを取ること、アクセス管理をきちんとすることなど、ITシステムの基盤に関して破綻が生じないようにすることである。IT全般統制は、法律でいうと憲法のようなものである。
企業会計審議会が2007年2月に発表した内部統制の「実施基準」では、IT業務処理統制として次の4項目を挙げている。
(1)入力情報の完全性、正確性、正当性等を確保する統制
(2)例外処理(エラー)の修正と再処理
(3)マスタデータの維持管理
(4)システムの利用に関する認証、操作範囲の限定などアクセスの管理
この4項目は、データの正確性を担保するために行うことといえる。例えば、売り上げデータが正確に入力されていることは仕事の基本である。入力データが正しければ、その後に処理される売り上げの集計やさらに財務報告書に至る数字も正しいものとなる。
しかし、人間がする以上、入力ミスもあり得る。もしも、入力ミスをしたら修正する必要が生じる。データの修正ができるようになっているか。それが(2)の内容である。通常のソフトウェアは修正できるようになっているのでそこに注意を払う必要はそれほどない。
マスタデータとは、顧客とその取引を包含したデータである。もし、実際には取引のない顧客をマスタに登録できるようでは具合が悪い。架空取引が生じる可能性があるからだ。誰でもマスタデータに触れることができてはいけない。そんなことが起きないよう、マスタデータのアクセスは厳重にしなければならない。そこに関係するのが(4)のアクセス管理だ。
データの入力・修正、そしてマスタデータの維持管理にとって重要なことはアクセス管理である。例えば、「会計主任はデータの入力も修正もできるが、主任以下の社員は入力しかできないようにする」ということを指す。権限に応じてデータへのアクセスを制限するということである。
業務処理に関する記録を取っておくことも大切で、ここでいう記録とは、誰がどのデータにいつアクセスしたのか、また、誰がどんなデータを印刷したのかという操作データをコンピュータ上に保管しておくことを指す。過去にさかのぼって問題が発見できるようにすること(証跡という)が記録を取る目的である。
IT全般統制がITシステム全般に関して構築・運用ルールを作るという側面が強いのに対して、IT業務処理統制は、会計管理システムや販売管理システムといったITアプリケーションを利用するうえで不正が生じない仕組みを作ることを求めている。そこで必要となるのはアクセス管理やログ管理の機能だ。つまり、IT業務処理統制を実行する際にはソフトウェア製品の機能がアクセス管理やログ管理などの機能を備えていると、企業は内部統制に対応しやすいといえる。
上場企業なら内部統制は避けて通れない経営課題だが、内部統制に対応すべく、業務を見直すのなら、いっそのこと業務改革を視野に入れた取り組みをした方が会社にとって大きな成果が得られるともいえるだろう。
