ITの活用方法は日々進化し、利用環境も大きく変化しています。クラウド環境の進展でITがより身近に利用できるようになり、また、ITを活用した各種サービスも急速に拡大しています。
本コラムでは、IT利用の目的の変化とそれにともなうIT全般統制の検討の視点を解説します。
1.IT利用の目的の変化
従来、顧客との契約や取引管理には、システム(業務管理システム)を自社で構築する、または外部に委託して自社用システム環境を構築していましたが、最近ではこれらを、クラウドサービス事業者が提供するシステム(クラウド型会計システムなど)に移行する会社が多くなっています。業務管理システムの外部化(自社構築→クラウド型システム利用)が進んでいるといえるでしょう。
一方、ITを活用したコンテンツ提供による広告収入、サブスクリプションモデルを通じた課金収入、ポイントサービスを付与したECでの収入など、顧客向けの事業としてITを活用したサービスを提供するシステム(顧客向けシステム)を構築し、収益源とする会社も増えてきています。
ITが主として業務管理システムとして利用されていた時代から、事業としてITを活用して収益化する時代へと変化しているといえるでしょう。
2.IT全般統制の検討の視点
IT利用の目的の変化にともない、IT全般統制での検討の視点として、下記が挙げられます。
- T全般統制の評価対象システムの範囲
IT全般統制の評価対象となるシステムは、これまでは業務管理システムが中心でしたが、収益的にも実務的にも影響が大きい顧客向けシステムが評価対象に含まれるか否かについて、評価範囲を検討する必要があります。
例えば、インターネットを通じてコンテンツ提供するサービスにおいて、顧客が利用者登録をして利用し、利用頻度や期間に応じて請求や売上計上する場合、顧客向けシステムが請求金額を計算・集計して請求データを作成したり、売上データを出力したりすることが想定されます。請求や売上という会計の基礎データを扱うことになるため、顧客向けシステムやその機能の一部を重要な統制対象として識別する必要がないか、IT全般統制の評価対象とする必要がないかを、あらかじめ検討することが求められます。 - T全般統制の評価項目
クラウドサービス事業者から提供されるサービスやシステムをそのまま利用する場合は、システム開発、システム変更、システム運用にかかる評価項目は、必要最小限または不要となり、アクセス管理(ID管理、権限管理)や外部委託管理(利用規約やSOCレポートの確認、自社が必要とするサービスとの適合性の確認など)が中心になると思われます。
一方、IT全般統制の評価対象となる顧客向けシステムを自社開発している場合、システム開発、システム変更、システム運用、アクセス管理、外部委託管理が対象になる可能性があります。その際は、顧客向けシステムの管理は事業部門やプロダクト管理部門、エンジニア部門などが中心になると想定されるため、これらの部門が開発方法に適したIT全般統制を整備し、運用する必要があります。本コラムでは、IT利用の目的の変化によるIT全般統制の検討の視点として、評価範囲、評価項目を中心に解説しました。本コラムの前2回では、「クラウドサービスに対するIT全般統制の留意点」「内部統制におけるIT」を解説していますので、ご参照ください。
今後、機会があれば、アジャイル型開発など、ITの開発方法の変化とIT全般統制の構築の視点についても解説したいと思います。
