■ビジネスコントロールとITコントロール
　企業の内部統制の仕組みがITに与える影響は3点ある。

１．経営幹部層による統制
　経営幹部層による、企業戦略を実行する上でのビジネス目標とポリシーの設定、企業資源の配置・管理の取締役決定。IT統制環境は、この決定に従う。

２．ビジネスプロセスの自動化
　ITアプリケーションシステムの集約に伴うビジネスプロセスの自動化により、業務処理統制も自動化される。ただし、業務処理統制の設計と開発は、ビジネス部門の責任下にあることは変わらない。

３．IT全般統制
　ビジネスプロセスをサポートするITサービス活動の管理全般が、IT全般統制である。業務処理統制の信頼は、IT全般統制の確実な運用によって保証される。

　このように、IT全般統制はITプロセス、ITサービス全般の管理統制であり、システム開発、変更管理、セキュリティ、コンピュータオペレーションを含んでいる。業務処理統制はビジネスプロセス全般の管理統制であり、IT全般統制をその網羅性・正確性・妥当性・認可・職務分離を基準に統制するのである。

　COBITでは、この自動化された業務処理統制の「設計と導入」が、IT部門の責任となる。また、それはCOBITの情報要請基準に見合うビジネス要件に基づいて定義されている。しかし、業務処理統制の「管理と責任」は、IT部門ではなくビジネスプロセスオーナー自身にある。従って、COBITのITプロセス適応範囲はIT全般統制にあり、業務処理統制は推奨される指標としてのみ機能するのである。

■データ作成と認可コントロール
　COBITで推奨される業務処理統制（AC）の内容は、18項目にまとめられている。

【AC1】データ準備手続
　入力フォームの使用、エラー処理手続機能によるデータの保護。

【AC2】原始帳票の認可手続
　原始帳票の作成、承認における職務権限と職務分離の機能発揮。

【AC3】原始帳票データ収集
　原始帳票記載の正確性、責任所在の明確性、データ管理

【AC4】原始帳票のエラー処理
　エラー処理手続機能による入力ミス・改ざんの防止

【AC5】原始帳票の保持
　データ修正、復元、適切な帳票管理または帳票の確実な再生。

【AC6】データ入力の認可手続
　承認された要員による確実なデータ入力の保証。

【AC7】正確性・網羅性・認可のチェック
　入力データの正確性、妥当性、網羅性の管理。

【AC8】データ入力のエラー処理
　誤入力データの訂正、再送信に関する手続の整備。

【AC9】データ処理のインテグリティ
　データ処理手続き上の職務分離とその定期的な確認。

【AC10】データ処理の妥当性
　チェック、認証、および編集がデータ処理直後に実施されることの保証。

【AC11】データ処理のエラー手続
　誤りのあるデータ処理の特定、有効データ処理の中断回避。

【AC12】出力の保持
　データ出力と保持におけるプライバシー、セキュリティ要件の考慮。

【AC13】出力の配布
　ITアウトプットに関する手続の定義が周知され、遵守される。

【AC14】出力のバランス保持と調整
　監査証跡によるデータ処理の追跡、および破損データの補正。

【AC15】出力レビューとエラー処理
　エラーの特定とデータ処理による出力報告の正確性保証。

【AC16】出力報告のセキュリティ確保
　ユーザへの出力報告のセキュリティ保守保証。

【AC17】真正性とインテグリティ
　外部情報の内部化における真正性と完全性の点検。

【AC18】送信中・移送中の機密情報の保護
　不正アクセス、内容改ざん、誤送信などのトラブルから機密情報を保護。

　COBITは、このような業務処理統制を行う上で、成果レベルを判定する指標を導いている。その成果測定基準は、以下の3つを指標とする。

　経営幹部層は、常にこの成果測定の「適正レベル」の改善を、費用対効果から見直すことが望まれるのである。