業務フロー図ライブラリ Q Business Process Management

全般統制

出典: Q-BPM
IT全般統制 から転送)

全般統制とは、ITを利用した情報システムを適切に管理・運用することによって、業務の実行管理が有効に機能するような環境を構築・維持していくこと。IT全般統制。

目次

全般統制の概要

内部統制のなかで、統制が有効に機能させるための基盤作りが全般統制である。全般統制は、ITを利用した情報システムの環境を適正に構築・維持することで、業務実行自体を管理する仕組みである業務処理統制が有効に働くような環境を構築・維持する。具体的には、以下の4つの観点から環境を整備し統制を実施することになる。

  • システムの開発・・・適切なアプリケーションを導入する。外部委託する際は、契約管理を行う。
  • システムの変更・・・ITインフラ、アプリケーション、データなどの変更が適正に行われる。
  • システムの運用・・・システム全体を適切に運用する。
  • システムへのアクセス・・・適切な人物のみがデータやアプリケーションへアクセスする。

全般統制が対象としている、システムの開発・変更・運用・アクセス管理などは、IT部門の日常的業務そのものであり、その意味で全般統制を実施することはIT部門の業務を可視化し、整備することであると言える。

日本における全般統制の位置づけ

全般統制は「財務報告に係る内部統制の評価及び監査に関する実施基準」(金融庁)の中で定義されている。

すなわち「内部統制の6基本要素」の一つである「ITへの対応」は

  • 「IT環境への対応」
  • ITの利用及び統制

の2つの実施により満たされ、更にその内の「ITの利用及び統制」は「ITの利用に関する5観点」と「ITの統制についての2観点」により担保される。全般統制はその「ITの統制」の1観点である「ITの統制の構築」の中で定義されている。

<ITの利用>

  • 「統制環境の有効性を確保するためのITの利用」
  • 「リスクの評価と対応の有効性を確保するためのITの利用」
  • 「統制活動の有効性を確保するためのITの利用」
  • 「情報と伝達の有効性を確保するためのITの利用」
  • 「モニタリングの有効性を確保するためのITの利用」


<ITの統制>

  • 「組織目標を達成するためのITの統制目標」
  • ITの統制の構築

なお「「ITの統制の構築」の中では

  • 「ITに係る業務処理統制」
  • 「ITに係る全般統制」

の表現で2活動が説明されている。前者は「個々の業務処理システムにおいてデータの入力、処理、出力が正しく行われるよう管理すること」、 後者は「業務処理統制が健全かつ有効に機能する基盤・環境を構築すること」と定義されている。前者を指して単に「業務処理統制」、後者を指して単に「全般統制」と呼ぶ場合がある。

全般統制の実施

COSOとは
the Committee of Sponsoring Organization of the Treadway Commissionの略で、日本語ではトレッドウェイ委員会組織委員会。不正な財務報告を防ぐための策を考案するためにアメリカで組織された。

内部統制全般のフレームワークとしてはCOSOフレームワークが採用されるが、全般統制においてはCOBITが参照されることが多い。COBITは、ITマネジメントのプロセスを「計画と組織化」「調達と導入」「デリバリとサポート」「モニタリングと評価」の四つのドメインと、さらにそれを細分化した複数のプロセスで定義する。アメリカではSOX法の施行を契機に、ITの内部統制を確立するためのフレームワークとして利用されている。また、SOX法に対応する形でCOBITを改良したもので、「財務報告にかかる内部統制」の視点でIT統制の目標を抽出・整理した「COBIT for SOX」というものもある。実際の実施手順は以下のようになる。

全般統制の計画ステップ

フレームワークとは
考え方の枠組みのようなものであり、対象の事象を捉えるときに漠然と表示するのではなく、ある視点から整理することにより理解しやすくするもの。

財務報告にかかわる業務プロセスを識別し、その業務を支援するアプリケーション・システムを識別する。それを踏まえて、統制するべきアプリケーション・システムやそれが稼働するインフラを特定する。また、使用している「ソフトウェア」、「データベース」、「OS」、「ハードウェア」を特定するだけでなく、

  • 使用する業務プロセス
  • パッケージ / 自社開発
  • カスタマイズの有無
  • 責任者
COBITとは
Control Objectives for Information and related Technologyの略で、組織のITガバナンスの実践規範。

などについても把握する。

それを踏まえて、自社の全般統制を評価し、どの程度まで統制するのかについて具体的な計画を立てる。後述の「評価の段階」の基準を利用する。

全般統制の実行ステップ

システムの開発・変更

システムは、信頼性がテストされ、承認されて本番環境に移行される。

  • ソフトウェアの開発・調達
  • IT基盤の構築
  • 変更管理
  • テスト
  • 開発・保守に関する手続の策定と保守
  • 外部委託先との契約
  • 外部委託先とのサービスレベルの定義と管理

システムの運用

システムの運用では、未承認の処理や不正な処理が防止される。

  • 運用管理
  • 構成管理(ソフトウェアとIT基盤の保守)
  • データ管理

システムへのアクセス

  • 情報セキュリティ(ウイルス対策等)
  • アクセス管理のセキュリティ・・・あらかじめ承認された者だけにアクセス権限が設定される(予防的統制)。そして、アクセス違反をモニタリングすることで、プログラムとデータの改ざんが防止される(発見的統制)。

全般統制の評価・改善ステップ

全般統制を下記の4つの視点から評価し、問題があれば改善する。

  1. システムの開発
    情報システムの購入業務や開発業務が適切に管理されているか評価する。
    システムを外部委託している場合、受託会社の選定基準、成果物等の検収体制、受託会社の統制を評価する。
  2. システムの変更
    アップグレードや情報更新などの変更管理が適切に実施されているかを評価する。
  3. システムの運用
    適切なデータを適切なプログラムで処理し適正な処理結果を得られるかを評価する。
    開発者と管理者が異なるかを評価する。
  4. システムへのアクセス
    データ、ソフトウェア、ハードウェア、関連設備等の不正使用や改ざんを防止するアクセス管理や自然災害等で財務情報が滅失しないような対策(統制)がとられているかを評価する。

評価尺度は以下の通り。

  • レベル0=不在(プロセスがない)
  • レベル1=初期(場当たり的)
  • レベル2=反復(標準的パターンあり)
  • レベル3=定義(文書化、周知されている)
  • レベル4=管理(モニタリングされている)
  • レベル5=最適化(ベストプラクティス、自動化)

アメリカのSOX法対応では、レベル3の状態が目標になっている。

関連記事

参考

"http://ja.q-bpm.org/mediawiki/index.php/%E5%85%A8%E8%88%AC%E7%B5%B1%E5%88%B6" より作成
検索

 
ツールボックス
リンク元
リンク先の更新状況
アップロード
特別ページ
印刷用バージョン
この版への固定リンク

カテゴリ
一般名詞 | 固有名詞 | 汎用業務プロセス | 基幹系業務プロセス | 支援管理系業務プロセス
Q-BPM Q-BPMでは企業内の業務フローについて、そのサンプルプロセスを幅広く例示し、業務フロー図の作成を支援します。 (※ 業務フロー図: 業務の流れ図/ビジネスダイアグラム/業務プロセス図) 当サイトは世界中の協力者を募るクラウドソース型情報発信サイトであり、サイトコンテンツは原則として「特定条件を満たせば転載可能」な「CC-By SA」と呼ばれるライセンスのもとに公開されます。 株式会社クエステトラ このサイトはBPMに興味があるが多数の書籍や文献、難しい用語の調査に膨大な時間を費やしている世界中のビジネスマンの為に株式会社クエステトラによって始められました。株式会社クエステトラはBPMに興味があるが多くの関連用語を調べたり文献を探したりする手間を減らして、BPMを理解したり、BPMを実際に活用したりする時間を世界中のビジネスマンに貢献したいと思っています。

Powered by MediaWiki CreativeCommons By SA