内部統制　ＩＴシステムの対応

　内部統制は、財務諸表への影響を主題において検討を進めていかなければならないが、ＩＴ・システムは外せない。現代のビジネスは、ＩＴ・システムなくしては語れない。ある程度の規模を超えれば（大して大きな規模ではない）、ＩＴ・システムを活用せざるを得ないだろう。
　
　では、内部統制の枠組みの中で、ＩＴ・システムは、どう捕らえていけばよいだろうか。もちろん、企業が100あれば100の考え方、やり方はあるだろうが、少し、それをまとめて多くの企業が考えなければならない点にまとめてみたいと思う。
　
　結論から言うと、４つのポイントにまとめられる。
　
１．システムのアクセス権限管理
　この前提となるのが、１ユーザー１ＩＤの徹底。システム上、個人を識別するには、ログインＩＤが必要となる。ひとり１つのユニークなＩＤを付与し、それぞれが正しいパスワードをつけること。それぞれのユーザーに必要なアクセス権限を付与すること。今では、当たり前のことのように思えるが、なかなか徹底しているかといえば、ほころびが出てくるものである。
　
２．入力チェックと承認
　ヒューマンエラーは、無くせない。無くせないものは、存在することを前提に対処することが大切。システムを利用することで、このヒューマンエラーは実は大幅に削減できる。数字項目に、文字が入らない・自動計算・入力してある項目のコピーなど、間違える要素は大幅になくせるのだ。また、それでも、論路的なミスは残るので、承認機能を備える。承認機能は、入力ミスを発見することにもなるが、不正登録などを抑制することにもなる。
　
３．開発と運用部門の分離
これが、結構難しい。システムの開発、メンテナンスを行う部門と運用を担当する部門の分離。システムは、ブラックボックス化されて考える傾向がある。ブラックボックス化できるのも、そのシステムの処理が証明されているからでこそ。一度、証明されたシステムをメンテナンス、仕様追加・修正する際に、正しい仕組みでないものに変えられることを防がなければならない。そのために、どうしても、開発部門と運用部門を分離しなければならない。また、アプリケーションとＤＢの担当者を分けることも望ましい。システムは、アプリケーションとデータベースに分け、それぞれを別の担当者が管理すること。もちろん、現状を考えれば理想かもしれない。中堅以下のシステム部門では、これらの体制を取ることも難しい。だからといって、無視は出来ない。体制的に作れないのであれば、それに代わる保証が必要になる。マニュアルを作ることも大きな対策だ。
　
４．システムのメンテナンスのルール化と履歴確保
　システムのメンテナンスは、現場からの要望がきっかけになることが多い。以前は、要望があればすぐに修正していたはず。内部統制上では、これらの要望の履歴、承認、テスト、承認、本番以降という流れを取らなければならない。仕様追加や修正だけでなく、バグについても同様の手続きをしなければならない。
　
　文章で書けば、こうなるが、現実はこんなにすっきりと行くはずもない。多くの企業でぶち当たるものが、Excel、時にはAccessなどのデスクトップツール。個人的に便利に作って、業務に使っているがこれも立派なシステムと位置付けれらる。多くのパソコンに潜んでいるExcelなどの簡易システムをどう管理していくのかは、大きな問題でもある。
　
　だからこそ、十人十色ならぬ、十社十色なのだ。自社開発システムはなく、パッケージシステムを利用している企業も多い。パッケージシステムにカスタマイズを入れている企業もある。これらのシステムに対する取り組みは、各社微妙に異なる。体制や予算も影響する。
　
　だからこそ、ＩＴ全般統制は難しい。