情報システム再構築にあたっては、必要な情報を入手するための要件、業務を効率化するための要件等に加えて、次のような内部統制要件を織り込むことも必要である。

• ・誤った情報が入力されないようにするための入力制御
• ・入力チェックのためのチェックリストや画面
• ・異常値を入力した場合のアラート
• ・照合に必要な帳表のアウトプット
• ・承認等の証跡の記録
• ・システム間のインターフェースの正確性を保証するチェック機能

このような内部統制要件が漏れてしまうと、せっかく入手できるようになった情報の精度が低くなったり、精度を向上させるための工数がかかってしまい効率化の効果が十分出なかったりすることとなる。

内部統制要件は、まずは現行の業務プロセスで識別されている内部統制のリスクおよびコントロールが、情報システム再構築後の業務プロセスにも組み込まれているかを確認する必要がある。
要件定義段階では、まだ粗いレベルの業務フローにとどまっていたり、内部統制に精通しているメンバーが参加していなかったりといったことで内部統制要件が十分洗い出されていないケースが少なくないが、その状態でシステムを開発してしまうと後工程で追加要件が発生してしまい、開発コストの増加、カットオーバーの延期につながってしまう。

情報システムの再構築では、業務の標準化・統合化、業務改善、手作業のシステム化などにより、今までなかった新しい業務が発生したり、業務が変更されたりする。また、これに伴い既存の業務で識別されていなかったリスクが発生したり、識別されていたリスクの発生箇所やリスクの大きさが変わったりする。
このような業務の変更点については、リスクの再検討や当該リスクに対して十分なコントロールが組み込まれているかを検討することが必要となる。
例えば、情報システム再構築前は、売上計上の仕訳を会計システムへ手作業で計上していたものを、再構築後は、販売システムから会計システムへ自動でインターフェースできるようにしたとする。
このときリスクは「売上の計上誤りのリスク」で同じだが、リスクの大きさは再構築後のほうが小さくなる。また、コントロールも再構築前は「照合」や「承認」であったものが再構築後は「システムインターフェース」となるため、コントロールを含めた仕訳計上業務の負荷が少なくなる。
内部統制の評価にあたっては、これらのリスクとコントロールの変更点をRCMへ反映しなければならない。