ITに係る全般統制

　ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいいます。

　ITに係る全般統制の具体例としては、以下のような項目が挙げられます。

システムの開発・保守に係る管理

システムの運用・管理

内外からのアクセス管理などシステムの安全性の確保

外部委託に関する契約の管理

　ITを利用した情報システムにおいては、一旦適切な内部統制（業務処理統制）を組み込めば、意図的に手を加えない限り継続して機能する性質を有していますが、例えば、その後のシステムの変更の段階で必要な内部統制が組み込まれなかったり、プログラムに不正な改ざんや不正なアクセスが行われるなど、全般統制が有効に機能しない場合には、適切な内部統制（業務処理統制）を組み込んだとしても、その有効性が保証されなくなる可能性があります。

　こうした問題に対応していくためには、例えば、

システムの開発又は変更に際して、当該システムの開発又は変更が既存のシステムと整合性を保っていることを十分に検討するとともに、開発・変更の過程等の記録を適切に保存する

プログラムの不正な使用、改ざん等を防止するために、システムへのアクセス管理に関して適切な対策を講じる

　など、全般的な統制活動を適切に整備することが重要となります。

　ITに係る全般統制は、通常、業務を管理するシステムを支援するIT基盤（ハードウェア・ソフトウェア・ネットワーク等）を単位として構築することになります。例えば、購買・販売・流通の３つの業務管理システムが1つのホスト・コンピュータで集中管理されており、すべての同一のIT基盤の上で稼動している場合、当該IT基盤に対する有効な全般統制を構築することにより、３つの業務に係る情報の信頼性を高めることが期待できます。

　一方、３つの業務管理システムがそれぞれ異なるIT基盤の上で稼動している場合には、それぞれのIT基盤を管理する部門、運用方法等が異なっていることが考えられ、それぞれのIT基盤ごとに全般統制を構築することが必要となります。