IT業務処理統制

■IT業務処理統制

IT業務処理統制とは、特定の業務で利用されるアプリケーションシステムに埋め込まれた統制活動を意味します。例えば、購買業務において利用される購買管理システムや在庫管理システムで取引を処理するにあたり、取引の適切な承認を必要とし、漏れなく正確に記録・処理されることなどを担保するための統制活動です。

情報システムに関する内部統制においてIT全般統制と対になる概念であり、IT全般統制の有効性を前提として、業務におけるアプリケーションシステムの利用から設定される統制目標を達成し、アプリケーションシステムの情報の信頼性を直接的に保証するための統制です。IT業務処理統制は、アプリケーションシステム内での統制だけでなく、そのアプリケーションシステムに関連する手作業の統制活動と一体となって機能します。

■IT業務処理統制の統制目標の例

業務で利用するアプリケーションシステムは多岐に及びますが、例えば会計システムを例にIT業務処理統制を考えてみましょう。会計システムについては、財務諸表監査におけるIT業務処理統制の有効性評価のなかで、次のような統制目標が考えられています（日本公認会計士協会IT委員会報告第3号より抜粋）。

1. 会計データの網羅性

• 会計データが漏れなく、重複なく記録され、残高更新され、未決済及びエラーとなった会計データは、期間内に全て適切に処理されていること

2. 会計データの正確性

• 会計データは、正確に適時に適切な勘定に記録されていること
• エラーとなった会計データは、期間内に全て適切に処理されていること

3. 会計データの正当性

• 会計データは、当該企業に財務的影響を及ぼす取引その他の事象を表し、かつ当該企業に承認されたものだけが入力され、処理されていること

4. ファイルの維持継続性

• マスタ・ファイルは、常に最新の状態に保たれ、正しく維持及び継続されていること
• 異なるIT間で利用される分散マスタ・ファイル間の整合性が保たれていること

■IT業務処理統制の分類と統制活動の例

IT業務処理統制は、大きく以下の2種類の統制活動に分類できます。

1. アプリケーションシステムに組み込まれ自動化された統制活動の例

• エディット・チェック：入力内容が入力を予定している内容と一致しているかどうかをチェックする機能（この入力チェックには、アプリケーションに手作業で入力されたデータだけでなくインターフェースされたデータも含まれます）
• マッチング：入力内容がマスタ・データなどのあらかじめ登録されたデータと合致しているかを確かめる機能
• コントロール・トータル・チェック：情報の処理過程において受入情報の数値項目などの合計を出力情報と照合する機能（販売システムから会計システムにインターフェースしているようなケースにおいて、システム間の接続での重複・漏れを防止するためにも適用されます）
• アクセス・コントロール：パスワードなどにより権限者とそれ以外の者を区分・承認する機能　など

2. 人とITが一体となって機能する統制活動

• 情報システムが作成する例外処理報告書にもとづく管理者による確認
• プルーフリストによる入力内容の確認　　など