IT統制という言葉を聞かれたことはございませんか?IT統制というと難しいように聞こえてしまい何を具体的にすれば良いかよく分からない、ということはございませんでしょうか?今回はIT統制についてできる限りシンプルにお話させていただきたいと思います。
IT統制とは何か?
まず、なぜIT統制が重要とされているのでしょうか?それは企業のビジネスを支えるあらゆる業務がITに強く依存しているためです。企業はITなしでは成り立たないため、ITに問題があると企業の内部統制の基盤を脅かし、かつ企業のビジネスにまで大きな影響が及びます。
IT統制は、日常の業務作業や企業の管理をITによってモニタリング(監視)及びコントロール(統制)し、日常業務や企業の管理組織の健全性を保証する仕組みであり、正しいIT統制が行われることが正しい財務諸表作成につながるという考えに基づいています。では具体的にどのようなITの統制や監視を行うのが良いのでしょうか?
IT統制の例
IT統制として行うことができる主な例は下記になります。
バックアップ:システムデータのバックアップは毎日行っておられますか?もしかするとバックアップは週に一回とされておられるかもしれません。頻度が低いほど潜在的に失われる量も大きくなります。データが何等かの影響で無くなってしまった場合、バックアップが週に一回しか行われていないとなると実務へ大きな支障が生じます。
サーバーへのアクセス:サーバー自体が会社に設置されている場合、誰もがサーバーにアクセスできるようになっていませんでしょうか?サーバーは鍵のかかった部屋に置いておき、鍵は特定の人だけが持つようにし、他の従業員が入出できないようにしておく必要があります。
また、社内のさまざまなデータやファイルを保存しているファイルサーバーは多くの社員が使用するため、その使用履歴(ログ)を記録することで、業務を管理したり、不信なアクセスがないかどうか確認したり、また、実際に不正アクセスがあった際の対策として活用することができます。
ユーザーIDとパスワード:コンピューターやソフトウエアにログインする際に各自のユーザーIDとパスワードを設定する必要があります。安全なパスワードの条件は下記のようなものが挙げられます。
- 名前などの個人情報からは推測できないこと
- 英単語などをそのまま使用していないこと
- アルファベットと数字が混在していること
- 適切な長さの文字列であること
- 類推しやすい並び方やその安易な組合せにしないこと
もし上記の条件を元にパスワードを設定されていないようでしたらパスワードを変更されることをお勧めいたします。
システムモジュールの権限:システムには受注や発注、商品の受領や発送、また入金や出金等を管理するモジュールがあります。企業はどの従業員がどのモジュールを使うことができるかを検討する必要があります。例えば、営業担当者がシステム上、新規の仕入先を登録することができるとすると、架空の仕入先を登録して商品を安価で販売したり、またサービスを受け取っていないにも関わらず架空請求書の支払いを経理に依頼したりすることが可能になります。また経理担当者が受注や発注を含むすべてのモジュールを変更することができる場合(スーパーユーザー)、架空の発注処理をして支払いまで行うことができてしまいます。そのため、一度社内におけるシステム権限権を見直されることをお勧めいたします。また、知らない間にシステム権限権が変えられていないか定期的にチェックすることも重要です。特にすべての権限を持っているスーパーユーザーは許可なしに従業員の権限を変更することができますので、何等かの事情で誰かに一時的にとあるモジュールの権限を与えてそのまま元に戻さなかったということもありえます。ですので定期的なチェックは重要な統制となります。
もし従業員が少人数でシステム権限の分離を行うことが難しい場合は、一つ追加の作業を行うことによってリスクを軽減することができます。例えば新規顧客や仕入先が新規登録されていないか、また新規登録されている場合新規登録依頼書が作成され、承認されているかを経理担当者が定期的に確認する。また、商品購入に関する支払い時は必ず商品を受領しているか確認する、等が考えられます。
一度ITの統制についてご検討されてみてはいかがでしょうか?ご質問等ございましたらCDH会計事務所の中尾 [email protected] までお問い合わせください。