内部統制報告制度の運用の実効性の確保について（その５－ITの利用及び統制)）

【ITの利用及び統制に関する不備の特徴】

報告書の調査対象事例において、ITの利用及び統制に関する不備を公表した企業は１６社あったとのことですが、このうち１１社の不備は不正に関連して発見されたものです。

また、報告書はITの利用及び統制に関する不備を以下の２つに分類しています。

①不適切なデータ入力やデータ改竄に関する不備

②処理ロジックの誤りに関する不備事例

①はITの利用方法に誤りや不正があったもので、データを誤って入力したり、正しく入力したデータをあとで上書修正して改竄するというものです。

②はITを動かすプログラムそのものが誤っているものです。ITは入力されたデータを加工して一定の出力を返しますが、データを加工するプログラムのロジックが誤っていたり、意図したとおりに動かないバグがあるといったものです。

調査対象事例において、不正は①のケースでのみ行われていますが、過去には②のケースでも外国の金融機関で有名な不正が行われています。

【上記を踏まえた考察】

ITの利用及び統制に関する不備における不正の割合が約７０％という事実は、ITが不正に用いられやすいというよりは、ITがそれだけ広く普及しているためと思われます。

ITは入力されたデータの処理と出力を自動化することによって、業務の効率化・高度化に貢献します。他方で入力を間違うと財務報告に与えるインパクトもそれだけ大きくなりますので、入力に関する内部統制はとても重要となります。特に、特定の権限をもつ者が特定の処理だけ行えるようにするアクセス制限（例えば、入力権限をもつ人は入力だけ、承認権限をもつ人は承認だけ行えるようにすること）、データの修正に一定の制限をかける（修正にも承認を必要とするなど。修正が無制限に行えてしまうと、入力時の内部統制が無効になってしまう）などの内部統制を整備する必要があります。

また、数は少ないものの上記②のケースで不備が見つかることもあります。ITはそもそも一定の処理を自動的に高速かつ正確に行うために導入されるものであるため、導入時には入念なテストが行われます。したがって、ITは絶対に正しく動くものだという先入観があるために、ITが常に正しく動くとは限らないという事実が見過ごされがちです。筆者も一時期はそうでしたが、ITは人間によって開発・運用されていることを忘れてはいけません。プログラムがまちがっていることは実は思った以上にあり、筆者も何度か見つけたことがあります。ITはプログラムが正しいときは正しいことをやりつづけますが、プログラムが誤っているときは誤った処理をやりつづけますので、プログラムを過信せずに、入力に対して正しい出力を返しているかどうかきちんとチェックしなければなりません。