全般統制

全般統制とは、ITを利用した情報システムを適切に管理・運用することによって、業務の実行管理が有効に機能するような環境を構築・維持していくこと. IT全般統制.

全般統制の概要
内部統制のなかで、統制が有効に機能させるための基盤作りが全般統制である. 全般統制は、ITを利用した情報システムの環境を適正に構築・維持することで、業務実行自体を管理する仕組みである業務処理統制が有効に働くような環境を構築・維持する. 具体的には、以下の4つの観点から環境を整備し統制を実施することになる.

全般統制が対象としている、システムの開発・変更・運用・アクセス管理などは、IT部門の日常的業務そのものであり、その意味で全般統制を実施することはIT部門の業務を可視化し、整備することであると言える.

日本における全般統制の位置づけ
全般統制は「財務報告に係る内部統制の評価及び監査に関する実施基準」(金融庁)の中で定義されている.

すなわち「内部統制の6基本要素」の一つである「ITへの対応」は の2つの実施により満たされ、更にその内の「ITの利用及び統制」は「ITの利用に関する5観点」と「ITの統制についての2観点」により担保される. 全般統制はその「ITの統制」の1観点である「ITの統制の構築」の中で定義されている.
 * 「IT環境への対応」
 * 「ITの利用及び統制」

なお「「ITの統制の構築」の中では の表現で2活動が説明されている. 前者は「個々の業務処理システムにおいてデータの入力、処理、出力が正しく行われるよう管理すること」、 後者は「業務処理統制が健全かつ有効に機能する基盤・環境を構築すること」と定義されている. 前者を指して単に「業務処理統制」、後者を指して単に「全般統制」と呼ぶ場合がある.
 * 「ITに係る業務処理統制」
 * 「ITに係る全般統制」

全般統制の実施
内部統制全般のフレームワークとしてはCOSOフレームワークが採用されるが、全般統制においてはCOBITが参照されることが多い. COBITは、ITマネジメントのプロセスを「計画と組織化」「調達と導入」「デリバリとサポート」「モニタリングと評価」の四つのドメインと、さらにそれを細分化した複数のプロセスで定義する. アメリカではSOX法の施行を契機に、ITの内部統制を確立するためのフレームワークとして利用されている. また、SOX法に対応する形でCOBITを改良したもので、「財務報告にかかる内部統制」の視点でIT統制の目標を抽出・整理した「COBIT for SOX」というものもある. 実際の実施手順は以下のようになる.

全般統制の計画ステップ
財務報告にかかわる業務プロセスを識別し、その業務を支援するアプリケーション・システムを識別する. それを踏まえて、統制するべきアプリケーション・システムやそれが稼働するインフラを特定する. また、使用している「ソフトウェア」、「データベース」、「OS」、「ハードウェア」を特定するだけでなく、 などについても把握する.
 * 使用する業務プロセス
 * パッケージ / 自社開発
 * カスタマイズの有無
 * 責任者

それを踏まえて、自社の全般統制を評価し、どの程度まで統制するのかについて具体的な計画を立てる. 後述の「評価の段階」の基準を利用する.

システムの開発・変更
システムは、信頼性がテストされ、承認されて本番環境に移行される.
 * ソフトウェアの開発・調達
 * IT基盤の構築
 * 変更管理
 * テスト
 * 開発・保守に関する手続の策定と保守
 * 外部委託先との契約
 * 外部委託先とのサービスレベルの定義と管理

システムの運用
システムの運用では、未承認の処理や不正な処理が防止される.
 * 運用管理
 * 構成管理（ソフトウェアとIT基盤の保守）
 * データ管理

システムへのアクセス

 * 情報セキュリティ（ウイルス対策等）
 * アクセス管理のセキュリティ・・・あらかじめ承認された者だけにアクセス権限が設定される（予防的統制）. そして、アクセス違反をモニタリングすることで、プログラムとデータの改ざんが防止される（発見的統制）.

全般統制の評価・改善ステップ
全般統制を下記の4つの視点から評価し、問題があれば改善する. 評価尺度は以下の通り. アメリカのSOX法対応では、レベル3の状態が目標になっている.
 * 1) システムの開発
 * 情報システムの購入業務や開発業務が適切に管理されているか評価する.
 * システムを外部委託している場合、受託会社の選定基準、成果物等の検収体制、受託会社の統制を評価する.
 * 1) システムの変更
 * アップグレードや情報更新などの変更管理が適切に実施されているかを評価する.
 * 1) システムの運用
 * 適切なデータを適切なプログラムで処理し適正な処理結果を得られるかを評価する.
 * 開発者と管理者が異なるかを評価する.
 * 1) システムへのアクセス
 * データ、ソフトウェア、ハードウェア、関連設備等の不正使用や改ざんを防止するアクセス管理や自然災害等で財務情報が滅失しないような対策（統制）がとられているかを評価する.
 * レベル０＝不在（プロセスがない）
 * レベル１＝初期（場当たり的）
 * レベル２＝反復（標準的パターンあり）
 * レベル３＝定義（文書化、周知されている）
 * レベル４＝管理（モニタリングされている）
 * レベル５＝最適化（ベストプラクティス、自動化）

関連記事

 * 内部統制
 * SOX法
 * J-SOX
 * IT統制
 * 業務処理統制
 * COBIT
 * IT統制
 * 内部統制システム
 * IT業務処理統制

参考

 * 財務報告に係る内部統制の評価及び監査に関する実施基準,金融庁
 * システム管理基準 追補版（財務報告に係るIT 統制ガイダンス）,経済産業省