金融庁の「財務報告に係る内部統制の評価及び監査に関する実施基準(令和元年)」に基づくIT統制は、「全般統制」と「業務処理統制」の2つに分類されます。
## 全般統制
全般統制は、業務処理統制が有効に機能するための環境を整備するための統制活動です。これは複数の業務処理統制に関わる方針や手続きで構成されます。具体的には以下のようなものがあります:
1. **システムの開発・保守に係る管理**:
- システムのライフサイクル管理、変更管理、問題管理など。
2. **システムの運用・管理**:
- システムの運用手順、バックアップ・リカバリ、パフォーマンス管理など。
3. **内外からのアクセス管理**:
- ファイアウォール、侵入検知システム、物理的なセキュリティなど。
4. **外部委託に関する契約の管理**:
- サードパーティベンダーの選定基準、契約条件、サービスレベルアグリーメント(SLA)など。
全般統制は、組織全体のIT統制環境を確立するためのものであり、広範な範囲にわたる管理活動を含みます。
## 業務処理統制
業務処理統制は、業務プロセスに組み込まれたITに係る内部統制であり、特定の業務が正確かつ完全に処理・記録されることを確保するための手続きです。具体的には以下のようなものがあります:
1. **入力情報の完全性、正確性、正当性等を確保する統制**:
- 入力データの検証、エラーチェック、データ入力の二重確認など。
2. **例外処理の修正と再処理**:
- エラーログの管理、例外処理のトラッキング、修正履歴の記録など。
3. **マスタ・データの維持管理**:
- データの整合性確認、変更管理、定期的なレビューなど。
4. **システムの利用に関する認証、操作範囲の限定などアクセスの管理**:
- ロールベースアクセスコントロール、ユーザー認証、操作ログの監視など。
業務処理統制は、特定の業務プロセスに焦点を当てており、個々のシステムや業務フローに組み込まれた統制活動を含みます。
## 具体的な事例の解説
1. **組織としてアクセス管理規程を定め,統一的なアクセス管理を行う。**
- これは全般統制に含まれます。全般統制は組織全体のポリシーや手続きを定めることに関するものであり、アクセス管理の規程を整備することはその一環です。
2. **組織としてアクセス権限の設定方針を定め,周知徹底を図る。**
- これも全般統制に含まれます。組織全体のアクセス権限設定の方針を決め、それを徹底することは、全般統制の範囲に入ります。
3. **組織内のアプリケーションシステムに,業務内容に応じた権限を付与した利用者IDとパスワードによって認証する機能を設ける。**
- これは業務処理統制の一例です。個々のシステムにおいて適切な認証機構を設けることは、業務処理の正確性や完全性を保証するための統制です。
4. **組織内の全ての利用者に対して,アクセス管理の重要性についての教育を行う。**
- これは全般統制に含まれます。組織全体の教育・訓練は全般統制の一環であり、アクセス管理に関する教育もその一部です。
このように、「全般統制」と「業務処理統制」は、組織のIT統制環境を整備し、具体的な業務プロセスの正確性を保証するための補完的な役割を果たしています。
最終更新:2024年07月25日 17:31
