IT統制(あいてぃーとうせい)情報マネジメント用語辞典

IT control

» 2005年10月12日 00時00分 公開
[@IT情報マネジメント編集部,@IT]

 内部統制システムの一部を構成する統制要素で、企業の業務や管理システムを情報技術によって監視・記録・統制し、その健全性を保証する仕組みのこと。内部統制を行う仕組み――内部統制システムのうち、ITを利用した部分をいう。

 今日、企業の業務プロセスやマネジメント・システムは、コンピュータ・システムに大きく依存している。これら業務およびマネジメントが健全かつ有効に実施されているかどうかを監視・統制するには、やはりコンピュータ・システムをうまく利用し、同時にそのコンピュータ・システム自身が健全かつ有効に運用されているかどうかを監視・統制していく必要がある。これがIT統制である。

 一般にIT統制は、「業務処理統制」と「全般統制」と分類される。業務処理統制は、個々の業務処理システムにおいてデータの網羅性、正確性、正当性、維持継続性を確保するための統制をいう。業務システムにおけるデータの入力、処理、出力が正しく行われることが確かであることを保証するためのもので、「二重入力チェック」「コントロール・トータルチェック」「限度チェック」などが含まれる。

 他方の全般統制は、業務処理統制が健全かつ有効に機能する基盤・環境を保証する統制である。IT戦略、企画、開発、運用、保守、およびそれを支える組織、制度、基盤システムに対する統制を含み、各レベルのITプロセスおよび個別要素である「ユーザー認証」「ログ監視」「暗号通信」「バックアップ」などが含まれる。

 上場会社会計監視審議会(PCAOB)では、「プログラム開発」「プログラム変更」「コンピュータ運用」「プログラムやデータへのアクセス」の4つを例示している。

 内部統制の枠組みとして事実上の世界標準であるCOSOフレームワークは、ITによって支援されたビジネスプロセスを前提に内部統制を行うように作られている。しかし、1992年/1994年に公表されたCOSOフレームワークではIT統制のみを独立に規定してはいなかった。

 日本では、2005年7月に公表された「財務報告に係る内部統制の評価及び監査の基準(公開草案)」(金融庁 企業会計審議会内部統制部会)で、IT統制を“ITの利用”として独立した内部統制要素とした。その背景にはこの10年の間に企業におけるIT利用が大幅に進展したことがあると思われる。この基準草案の中で、ITの利用は「組織目標を達成するため組織の管理が及ぶ範囲において、IT環境に対応した情報システムに関連する内部統制を整備及び運用すること」と定義されている。

 このほかIT統制に援用可能な基準/ガイドラインとして、ISO/IEC 17799(BS 7799-1)や米国システムコントロール協会のCOBIT、経済産業省が2004年10月に発表した「システム管理基準」「システム監査基準」、米国公認会計協会やカナダ勅許会計協会のIT統制基準、情報処理サービス協会の「情報処理セキュリティガイドライン」、ソフトウェア資産管理コンソーシアムの「ソフトウェア資産管理基準」、日本公認会計士協会の「監査基準委員会報告書第20号(中間報告)」、同「IT委員会報告第1号(中間報告)」などが挙げられる。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ