ITに係る三つの内部統制(IT統制)について実施基準は、I.内部統制の基本的枠組みの中で定義する。
- 全社的な内部統制:「企業全体に広く影響を及ぼし、企業全体を対象とする統制」と定義する。これは、一般的には企業活動の一部として、すでに実施されていることだ。
例えば、「全社的な統制を有効に機能させるためには、システムの方針や手続きを適切に定める」「IT環境を適切に理解すること」や「IT戦略や計画を立て、実行することで、新たに生じるリスクを再評価する仕組みを作る」などが考えられる。 - IT全般統制:「IT業務処理統制が有効に機能する環境を、合理的に保証するための統制活動」と定義する。IT全般統制が有効であれば、業務システムが業務要件通りに処理されていることを保証する一つの判断基準になる。
実施基準は、IT全般統制の具体例として次の4項目を挙げる。
(a)ITの開発・保守に係る管理
(b)システムの運用・管理
(c)内外からのアクセスの管理などのシステムの安全性の確保
(d)外部委託に関する契約の管理ただし実施基準は、具体的な内容について言及していない。
一般的には、以下のような内容が考えられる。
(a)の例は、システムを開発したり、変更する場合に、利用部門の承認を得たり、導入前にテストを実施する、などである。
(b)では、システムの障害対応、バックアップ管理、バッチジョブ管理などが該当する。これらの活動は、これまでもシステム部門が担ってきた業務そのものである。
(c)は、データやプログラムの改ざん・不正利用を防止するために、システムへのアクセス管理等の方針を定めて、適切に運用することなどを指す。ここで特に注意すべきなのが、システム部員のアクセス管理だ。「特権ID」の利用などによる、データやプログラムの改ざん、不正利用のリスクは高い。評価や監査においても問題点として指摘されやすい項目である。
主要なシステムの開発や運用業務を外部委託している場合は、(d)が重要になってくる。契約やSLA(サービス・レベル・アグリーメント)などで委託内容を定め、委託先がSLAに沿って運用しているか、などを確認しなければならない。 - IT業務処理統制:「業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制」と定義する。これは、「ITに自動的に処理させている」統制と言い換えられる。
