情報システムは、ビジネスの目標を達成するために、業務プロセスの効率性、生産性、正確性、迅速性、複雑性、処理性、などを向上するために導入されます。情報システムは、業務プロセス上の様々な手続きを、アプリケーションプログラムの中に機能として埋め込み、手続きを自動化（システム化）するものです。
従来からの情報システムを構築する多くのケースでは、利用者（エンドユーザ）は業務要件（情報システムで実現したいこと）を提示するだけで、情報システムに埋め込まれる機能は、システム開発業者が設計していました。その結果、利用者は情報システムの中に埋め込まれた機能についてはよく知らずに、情報システムがブラックボックス化していました。ところが、金融商品取引法（いわゆるJ-SOX法）が施行されたのを契機に、情報システムの中に埋め込まれた機能のうち、財務報告に係る主要なコントロール（内部統制）は文書化し有効性を評価しなければならなくなりました。多くの企業では、J-SOX法対応の一環で、IT業務処理統制（ITアプリケーションコントロール）の評価を始めています。しかしながら現在は、既に埋め込まれた財務報告に関連したアプリケーションコントロールについての評価に留まっているのが実状です。
今、手作業で実施しているコントロールをシステム化する必要性の検討や、本来は存在すべきアプリケーションコントロールが欠落しているなどの評価、また、財務報告以外の効率性や有効性の観点で求められるアプリケーションコントロールの評価は、多くの組織において、今後の課題となっています。

例えば、J-SOX法対応の現場に見られる問題としては、アプリケーションコントロールの評価の実施が、システム部門を巻き込む必要がある、評価作業が過負荷になる、などの理由から、実質的にはシステムに依存しているにも関わらず、アプリケーションコントロールを評価対象とせず、手作業によるデータの照合・検証コントロールをキーコントロールに設定している、などが挙げられます。
また、よくあるアプリケーションコントロールの問題には、上長の承認機能が省略できるようになっているケースや、製品単価や取引先をマスターから選択するのではなく、自由に入力できるアプリケーションシステムを目にすることがあります。本来はシステムに埋め込むべきコントロールが、業務の効率性を優先するがために、省かれているケースがあります。

そこで、我々インフォセックでは、アプリケーションコントロールの有効性向上支援を通じ、情報システムの付加価値を高め、ビジネスの目標達成をより強固なものにするためのお手伝いをいたします。

企業の業務プロセスの中にはアプリケーションが組み込まれており、多くの企業にとって業務遂行上、必要不可欠なものとなっています。このアプリケーションを通じて業務プロセスの統制を実現することをアプリケーションコントロールと呼びます。
アプリケーションコントロールは、例えば次の5つの要素から構成されます。

＜01.インプット・コントロール＞

データ入力時に不正なデータ入力がないかをチェックする統制機能です。
入力者の制限、各種チェック（範囲チェック、マスタチェック、重複チェック、文字種チェック、バランスチェック、整合性チェック等）がなされていることが求められます。

＜02.プロセス・コントロール＞

業務の処理プロセスが正しく行われているかをチェックする統制機能です。
不正確な処理やマニュアル処理等による異常が発生しないようになっていることが求められます。

＜03.アウトプット・コントロール＞

データ出力時に不正なデータ出力がないかをチェックする統制機能です。
出力者の制限がされていること、出力が正しくされていることが求められます。

＜04.アクセス・コントロール＞

不正アクセスを防止するための統制機能です。
業務処理を行うに当たり適切な認証及び権限を設定することが求められます。

＜05.データ・コントロール＞

データを正しい状態で保管するための統制機能です。
データアクセス者の制限、改ざん防止、アクセス履歴の管理が求められます。

• お客様の立場に立って、システムに盛り込む業務要件を評価
• システムベンダーの立場に立って、システムに必要な非機能要件を評価
• 第三者の立場から、総合的なアプリケーションコントロールのデザインを実施

• 業務の遂行に必要な最低限の機能だけではなく、あるべきアプリケーションコントロールを知り尽くしたコンサルタントによるアプリケーションコントロールのデザインを実施

• 財務報告の虚偽記載リスクだけではなく、情報セキュリティ、効率性・有効性などを脅かす様々なITリスクの豊富な知識や経験を保有したコンサルタントによるアプリケーションコントロールのデザインを実施