ITの統制とは

　ITの統制はIT全般統制とIT業務処理統制の２つから構成され、その目標として日本版SOX法では以下の項目が挙げられています。

有効性及び効率性：情報が業務に対して効果的、効率的に提供されていること

準拠性：情報が関連する法律や会計基準、社内規則等に合致して処理されていること

信頼性：情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること（正当性・完全性・正確性）

可用性：情報が必要とされるときに利用可能であること

機密性：情報が正当な権限を有する者以外に利用されないように保護されていること

　日本版SOX法が求めるのは『財務報告に係る内部統制』であり、今後更に企業における会計業務を中心に、財務報告の信頼（正当性・完全性・正確性）を確保するため、多くの会計業務でITを活用した処理が行なわれる事が考えられ、ITは『財務報告に係る内部統制』を支える大きな柱の一つであると言えます。

全般統制

　ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味し、業務処理統制の土台をなすものと位置づけることができます。日本版SOX法では、全般統制の具体的例として以下のような項目が挙げられています。

システムの開発、保守に係る管理

システムの運用・管理

内外からのアクセス管理などシステムの安全性の確保

外部委託に関する契約の管理

リレーションシップ

経営戦略とIT戦略との整合性

　『業務処理体制の土台』とは、例えば業務処理体制の一環として購買・販売管理(業務処理統制)にITを使用している場合に、土台である全般統制が有効に機能していなければ、不正アクセスや改ざんが行われたり、システムの開発または変更に際して必要な内部統制が込みこまれていない状況となり、たとえ業務処理統制が適正であっても、その有効性が保証されなくなってしまいます。業務処理体制が機能するには、先ず土台となる全般統制による環境整備が不可欠になるのです。

　言い換えればIT全般統制とは、アプリケーション実行環境の機密性・完全性・可用性・安全性・信頼性・効率性を担保する統制のことで、『ITガバナンス』の実現と同じ意味になります。

業務処理統制

　ITに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制を言います。日本版SOX法では、業務処理体制の具体例として以下のような項目が挙げられています。

入力情報の完全性、正確性、正当性等を確保する統制

例外処理(エラー)の修正と再処理

マスタ・データの維持管理

システムの利用に関する認証、操作範囲の限定などアクセスの管理

　業務処理統制は、全般統制と比較して、個々の会社毎の業種・業態・規模違いにより、アプリケーション装備の程度も異なってくるので、全体像が掴み難いと言えます。
　まず、業務記述・業務フローチャート・RCMを作成し、プロジェクト・メンバーや監査人などの関係者の間で認識を共有化し、対象範囲や改善目標を明確にする必要があります。

　対象となる業務としては、日本版SOX法が『財務報告に係る内部統制』を求めていことから、会計の業務やシステムである販売・購買・生産・物流といったものが考えられます。