ＩＴ統制とは？

IT統制というと、エディット・ヴァリデーションのような、システムに組み込まれたものをイメージし勝ちですが、定義上のＩＴ統制は、ITCLC（会社レベルで、例えば、経営戦略とＩＴ開発に齟齬が出ないような仕組みの有無など）、ＩＴＧＣ（アクセスコントロール、システム開発＆変更管理＆運用に関るもの）、ＩＴＡＣ（エディット・ヴァリデーションのような業務上の統制でＩＴに依拠したもの）の3通りあります。このうち、ＩＴＣＬＣ＆ＩＴＧＣはかなりの部分が「人的なコントロール」です。つまり、「システムに依拠していないから、ＩＴ統制ではない」とは言えない、という事です また、内部統制の有効性を判断する立場からすれば、一般論としてはシステムに依拠したものの方が強力なので、それに越した事はないですが、人的な統制でも、十分であれば当然にしてＯＫなので、そもそも「システムに依拠した統制かどうか」って事自体は普通はそれほど関心を持たれません。よって、「ＩＴ統制かどうか」ではなく、統制として十分か、という観点から考えてみます。 >『担当者Ａは「登録」権限しか持たないので、「修正」や「承認」は行わないようにしています』ということで、IT統制ができていると言えるのでしょうか？ この『説明』だけならばNGでしょうね。「行わないようにしている」かどうかではなくて、「行わなせない仕組みは何か」という事が問題なのですから、そもそも説明になってない。 「個々の担当者の権限が文書で規定され通知されている」のであれば、統制はある、とは言えるでしょう。それが守られるかは、突き詰めると本人の良心次第であっても、です。（例えば、システム部門以外を含む全社で、ノートＰＣは家に持って帰るな、という規則があるケースは多いと思いますが、こういう規則を「統制」と呼ぶのが常識です。） 「規定がある」だけで、統制として十分と言えるかどうかは、不正な修正や承認が起きた場合の『ダメージ』の規模によって大きく変わります。非常に軽微なダメージしかなければ、ひょっとしたら「ルールだけでもＯＫ」となるかも知れません。 また、「修正」や「承認」の『結果』が、責任者によってタイムリーかつ網羅的にモニターされているのであれば、不正な修正＆承認はそこでチェックできる、と言えるので、もしそうだったら、「承認や修正の権限に関する統制の有無は問題ではない」（どっちもいい）って事になります。このように、下流に強力な統制があれば、上流の統制については考えないというのは、至極普通でかつ内部統制評価の現場ではよく見られるものです。 >そのシステムを利用する業務には関与していない（もともとは参照権限もない）担当者Ｂが、システム管理者として全権を持って、各担当者に「登録」や「承認」の権限を付与するという行為が、IT統制になるのでしょうか？ 違う担当ラインの人に、「登録や承認の権限を誰かに与えたり奪ったりする」権限を与える、って事ですかね。今でも、登録や承認の権限は、誰かが与えているのでしょうから、違う担当ラインの人にするってところがミソなのでしょうか？だったら、職務分掌が問題にされているのかな？ 同一ラインに権限付与も実務もやってしまうよりは、権限付与と実務を分けた方が、「つるんだ不正」が防ぎやすくなるのは事実です。「他部署のシステムにもアクセスできる」事を疑問視されているようですが、統制の構築は、そういうメリット・デメリットを勘案した上で決められるもので、一概にどれが正解、といえるものではありません。（ある意味、かなり主観的な判断による、とも言える。）アクセスできるといっても、参照権限だけならＯＫ、という結論も、状況次第ではあるでしょう。 私は、数ヶ月前まで、会社全体としての、（おそらく質問で書かれたような）「内部統制担当」の立場にありました。コストも手間もかからずかつ明らかに「そりゃダメだろーが」というケースは、Ｙｅｓ/Noをはっきり言いましたが、まじめに考えるには、プロセスの上流から下流まで、コストも含めた、かなり幅広い観点からメリット・デメリットを考えた上で、結論を出しました。 こういうサイトで、この手の疑問を解消するのは、かなり難しいように思います。（少なくとも、回答者として、根拠のある回答をするのはかなり難しいです。） ここで聞くより、会社の「内部統制担当」に直接聞かれたらどうでしょう？