今回から2回にわたり、IT全般統制の各領域(カバー範囲)を、PCAOB(公開会社会計監視委員会)の四つのカテゴリーに基づいて解説する。今回は「プログラム開発」と「プログラム変更」にかかわるIT全般統制を取り上げる。
IBM ビジネスコンサルティング サービス
プログラムの開発と変更にかかわるIT全般統制とは、どのようなものでしょうか。COBITの「調達と導入(AI)」ドメインは、「IT戦略を実現するために、ITソリューションが識別され、開発または取得され、ビジネスプロセスに統合化される必要がある。さらに、それらのシステムの変更および保守を通して、ライフサイクルが既存システムに対して継続される」ことを目的としたプロセスのグループです。
すなわち、「ビジネスに貢献するための情報システムの調達(開発・保守)プロジェクトが、業務要件を満たし、計画された予算、期間で実施され、業務プロセスと統合されること」が、ここでのIT全般統制の目的であり、そのような目的の達成を阻害するリスクをコントロールすることが、プログラム開発とプログラム変更におけるIT全般統制であると考えられます。
では、プログラム開発とプログラム変更におけるIT全般統制が整備されていない場合、財務報告の信頼性にどのような影響を与えるでしょうか。以下が、その具体例です。
・開発されたソフトウエアの品質が低く、在庫管理システムの在庫数と会計システムの在庫数が一致しない。そのため、財務情報は完全でない、または正確でない可能性がある。
・業務に必要な要件や機能を、ベンダーに十分に伝え切れずに、導入された売り上げ管理システムが一部しか利用できない。そのため、正確な売り上げの数値が把握できない。
・適切なテストが実施されなかったため、システムが要件通りに機能せず、誤った仕分け処理を実施した。そのため、信頼できない財務報告になった。
・保守契約を結ばずに、パッケージの会計システムを導入していたところ、コンピュータのハードウエアを更新したら利用できなくなった。そのため決算の適切な報告が期限までにできなくなった。
・未承認のプログラム変更によって、不具合が発生し、承認されていない発注が行われた。このため、不要な在庫を計上し、財務報告の数字を変更する必要が生じた。
これらは、いずれもプログラム開発やプログラム変更にかかわるIT全般統制が整備できていない場合に起こり得る課題です。最近では、証券取引で大量の誤発注が取り消せないという事故の発生が、皆さんの記憶に新しいと思います。取引システムに問題があったことや、緊急時の対応手順が不明確だったために、結果的に、大きな損害を発生させてしまいました。IT全般統制の整備が不十分であったために、会社の財務状況や社会的信頼に多大な影響を与えてしまったケースです。
では、プログラム開発やプログラム変更におけるIT全般統制を整備するにはどうすればよいでしょうか。以下、COBITのプロセスに沿って解説していきます。
(1)「財務報告の要件を効果的にサポートするアプリケーションとシステム・ソフトウエアが調達・開発されている合理的な保証を提供する」ために、組織としてのソフトウエア開発方法論や開発標準を定義し、その方法論や標準に基づいてプロジェクトが実施される必要があります。そのためには、以下のような取り組みが必要です。
・開発方法論の中に、セキュリティーや可用性、完全性などの要件を定義するための手法があること。
・業務処理統制が設計段階で考慮されるような仕組みが盛り込まれていること。
・プロジェクトがIT戦略の方向性に合致しているか、マネジメントが承認していること。
・業務部門が適切に要件のレビューやテストに参加すること。
・組織の標準の開発方法論や手続きに基づいてプロジェクトを実施していることを、組織として保証する仕組みがあること。
(2)「技術インフラを調達し、これが財務報告のアプリケーションをサポートする適切なプラットフォームを提供しているという合理的な保証を提供する」ために、インフラ導入プロジェクトについても、業務アプリケーションの要件に基づいて、調達される手続きがあり、その手続きに従って調達される必要があります。
(3)「必要な調達および維持プロセスを定義する方針または手続きが策定・維持されており、これらがアプリケーションの正しい使用と、実施している技術的な解決策をサポートするために必要な文書化を定義しているという合理的な保証を提供する」ために、開発標準が定期的に見直され、マネジメントが承認したうえで変更され、それに基づいてプロジェクトが実施されている必要があります。またユーザーマニュアルが文書化され、定期的に更新され活用されている必要があります。
(4)「本番環境に移行する前に、システムが適切にテストされ、検証されている。そして関連統制が意図したとおりに運用され、財務報告の要件をサポートしているという合理的な保証を提供する」ために、以下の取り組みが必要です。
・開発方法論に合致した適切なテスト計画が作成されていること。
・テスト計画や確立されたテスト基準に従ってテストが実施されていること。
・データ転送が完全・正確・有効であることをテストしていること。
・データ移行が完全・正確・有効であることをテストしていること。
(5)「財務報告上重要なシステム変更は、本番環境に移行する前に承認され、適切にテストが実施されている合理的な保証を提供する」ために、以下の取り組みが必要です。
・組織として文書化された変更管理手続きが存在すること。
・変更管理手続きに従って、変更が開始され、承認され、最後まで追跡されていること。
・承認された変更のみ実施されること。
・プログラム変更は適切な職務の分離がされていること、すなわち「本番運用者は変更できない」または「開発者は本番環境へ移行できない」ことなど。
・本番移行する際は、新規プロジェクトと同様に適切なテスト計画が策定され実施されていること。
・緊急時の変更も組織の手続きに従って実施していること。
・変更によって既存のシステムやアプリケーションに影響を与えないことが、テストによって確認されていること。
|
出典:「プロジェクト現場から見た内部統制~実務者が語る日本版SOX法対策」(IBM ビジネスコンサルティング サービス著,日経情報ストラテジー編集,日経BP社刊)より(詳細情報はこちら)
