IT全般統制の文書化(1)

こんにちは、長谷友春です。

「基準案」で「ITへの対応」という言葉が入ったことでIT業界が俄然熱くなっていますが、今日はその中心となるIT全般統制について書きたいと思います。

「基準案」によるとIT全般統制とは、「ＩＴを利用した業務処理統制が有効に機能する環境を保証する間接的な統制」であり、「通常、ハードウェアやネットワークの運用管理、ソフトウェアの開発、変更、運用並びに保守、アクセス・セキュリティ及びアプリケーション・システムの取得、開発並びに保守に対する統制を含む」とされています。

企業のコンピュータ処理環境は様々です。汎用機、オープン系が入り混じっているケース、一部をアウトソースしているケースなど多種多様です。そのような状態で、どのコンピュータ処理環境のIT全般統制を文書化すればよいのでしょうか。

私なりの言葉で表せば、(1)文書化対象とする業務において、(2)財務情報作成のために使用されているアプリケーションシステムのIT業務処理統制が有効に機能する環境を保証する間接的な統制について文書化することになります

(1)についてですが、当該アプリケーションシステムが企業の中にあろうと外にあろうと関係ないということです。つまりアウトソースしている場合にはアウトソース先のIT全般統制も対象となります。。（SAS70報告書や18号報告書を入手するという方法もありますが、これらの報告書についてはまた後日書きたいと思います）

(2)についてですが、財務情報作成に関係ないアプリケーションシステムは対象外です。一般的にデータベースマーケティングシステムや営業支援システムは財務諸表に直接関係しません。

IT全般統制は複数のアプリケーションシステムにおいて共通ですが、汎用機とオープン系では異なる部分も多く、同一企業内でもいくつも書き分ける必要がある場合もあります。

子会社が親会社のシステムと全く同じものを使っている場合などの特殊なケースを除き、異なる企業間ではほぼ間違いなくIT全般統制は異なります。従って、子会社が文書化対象となっている場合は、子会社のIT全般統制も文書化することになります。海外子会社であっても同様です。

次回はIT全般統制の文書化で苦労する点について書きたいと思います。