会計監査や内部監査における内部統制評価を実施するなかで、IT全般統制の評価は求められる主要な作業の一つです。今や企業の事業活動においてITは切っても切れないものであることは言うまでもありませんが、IT全般統制は、ITにて処理された会計情報を含む経営情報がいかにコントロールされているかを指し示すものとなります。このIT全般統制の評価は、一義的には会計監査の一環として実施されることから、会計報告の正確性を主目的として評価されることが一般的ですが、会計領域に限らず、情報セキュリティの視点からも重要な意味を持つことを理解しておく必要があります。
IT全般統制と会計監査
会計監査においては、情報システムの信頼性が担保されているかどうかを評価する必要があります。特に会計データの正確性を保証するためには、利用されるITシステムが適切に統制されていることが前提となります。これには、会計ソフトの変更管理、アクセス管理、データのバックアップをいかに統制するかなどの統制項目が含まれます。これらの統制に不備がある場合、会計監査においては当該不備に対して追加的な評価を行い、”会計データが”不正確・棄損しているリスクが顕在化していないかを追加的に確かめる必要があります。
IT全般統制と情報セキュリティ
一方で、情報セキュリティ監査は、”情報資産を”保護するためのアプローチを配置した監査です。IT全般統制は、このセキュリティ基盤を支えるための統制のいくつかをカバーしています。つまり、統制項目が重複しています。例えば、IT全般統制の領域にアクセス制御(パスワードの複雑性や定期的なID棚卸・権限チェック、リモートアクセス制御等)がありますが、このアクセス制御に不備がある場合、会計データはもとよりさまざまな情報資産への不正アクセスが発生し、システム内のデータ改ざんによる信頼性の低下のみならず、情報漏洩につながるリスクが高まります。このため、情報セキュリティ監査においても、IT全般統制の機能をチェックすることは重要と考えられます。
IT全般統制の評価をきっかけとした情報セキュリティのチェック
情報セキュリティのレベルを把握するひとつの足掛かりとして、内部監査や外部監査が入っている企業では、既に実施済みのIT全般統制の評価結果をレビューすることもお勧めです。IT全般統制は情報セキュリティの基盤を成すものであり、この評価を通じて現状を測り、課題を明らかにすることが可能です。このプロセスは、ただしい会計報告の構築のみならず、経営上のさまざまな情報資産を守るための信頼性の高い情報セキュリティの実現にも大きく関連します。
一方で、会計目的でのIT全般統制は会計システムにフォーカスしており、ゆえに会計システムが導入されているサーバを中心とした評価になりますが、情報セキュリティにおいては、多くの場合は、社内・社外のネットワーク境界が保護されているかを起点とした対策になります。この点から、IT全般統制での対応がそのまま全社の情報セキュリティの担保には必ずしもつながらない点は留意しなければなりません。
しかしながら、自社の情報セキュリティを推し量られていないような状況の場合、法定監査で要求されているIT全般統制での評価を足掛かりとして社内のセキュリティレベルを推し量り、会計システムを中心としたIT全般統制の評価を実施すると同時に、全社の情報セキュリティを推し量るきっかけとするアプローチも有効ではないかと思います。実際、全社の情報セキュリティルール(ID付与ルールやパスワード複雑性ルール等)が文書上規程されていたとしても、個々のシステム運用までには落とし込まれていないケースは良く見受けられ、IT全般統制評価をきっかけとして問題提起し、課題を発掘、改善につなげられるケースは見受けられます。
おわりに
あらためて会計士による監査実施の立場から見ると、IT全般統制の評価は一義的には会計監査の業務のほんの一部でしかありませんが、その評価結果は会計データの信頼性のみではなく、全社情報資産に係る情報セキュリティの視点にも大きな影響を与えるものとなります。IT全般統制評価は内部監査・外部監査のほんの一部に過ぎないと考えられる面もありますが、せっかくコストをかけて監査を実施するのであれば、ひとつ目線を広げて全社の情報セキュリティに関する問題の発掘・課題の抽出と解決にも寄与できるものだと、実務を通じて大きく実感させられます。
