また、「ITへの対応」を「IT環境への対応」、「ITの利用」および、「IT統制」に分け、それぞれの具体例でわかり易くしたものが下図である。(図クリックで拡大)
IT部門の役割は大きく二つある。一つは「ITの統制」を整備することだ。実施基準案の「I.内部統制の基本的枠組み」の15ページ「IT(情報技術)への対応」中に記載されている。
IT部門にまず求められるのが、「組織の状況に応じた、適切なITの利用及び統制を図るために、組織を取り巻くIT環境を理解すること」である。
その理解に基づき、財務報告の信頼性を確保するためのIT統制を整備する。具体的には、財務報告の信頼性に影響を与えるリスクを十分に低減する統制が施されているかどうかを確認し、必要ならばそれを改善する。この過程で「文書化」の作業が発生する。
もう一つの役割は、IT統制の評価支援である。評価においては、評価主体が「評価の対象となる業務から独立し、客観性を保つこと(「II.財務報告に係る内部統制の評価及び報告」の11ページ)」が求められる。IT部門が直接的に関与するケースは少ないと言えるが、一般に、企業内においてIT統制を評価できる人材には限りがある。IT部門が何らかの形でIT統制の評価を支援する役割を担うケースが多いはずだ。
・内部統制整備のポイント: