IT全般統制とは?IT全社統制との違いや構成をわかりやすく解説
「IT全般統制ってなに?」
「具体的になにをしたらいいの?」
と思うことはありませんか?
IT全般統制が重要だとわかってはいても、いざ取り組むとなると、なにをしたら良いのかわからず困ってしまいますよね。
では、IT全般統制の具体的な取り組みや構成要素にはどのようなものがあるのでしょうか?
そこで今回は、
- IT全般統制の概要
- IT全般統制の構成要素
- IT全般統制の具体例
について詳しく解説します。
この記事を読めば、IT全般統制を理解でき、自社で取り組むイメージが湧いてきます。
ぜひ最後まで読んでみてください。
\プログラミングスクールを比較/
|
DMM WEBCAMP |
COACHTECH |
RUNTEQ |
|
|---|---|---|---|
|
|
|
|
| 目指せる姿 | WEBエンジニアへの転職 |
フリーランスエンジニア | WEBエンジニアへの転職 |
| 分割払い | ○ | ○ | ○ |
| 補助金 | ○ | × | ○ |
| 転職保証 | ○ | × | × |
| 受講期間 | 3ヶ月〜 | 3ヶ月〜 | 5ヶ月〜 |
| 特徴 |
【IT業界の転職を一番に考えたい方向け】 大手DMMが運営のプログラミングスクール 転職成功率98.8% 豊富なキャンペーンや補助金制度あり |
【フリーランスを目指したい方向け】 フリーランスのエンジニアを最短で目指す エンジニアと共に実際の案件開発を担当 |
【とことん勉強してから転職したい方向け】 1,000時間(約9カ月)のカリキュラムでしっかり勉強 企業の求める即戦力のWEBエンジニアを目指す |
| 料金 | 329,350円〜 ※給付金適用後 |
42万9,000円~ | 55万円 |
|
公式HP |
公式HP |
公式HP |
IT全般統制とは
IT全般統制とは、内部統制のひとつとして位置づけられた、企業がITシステムを安全かつ効率的に運用するための仕組み・活動を指します。
近年、ITの進化によって、企業から注目されている内部統制のひとつです。
具体的な特徴を以下の2点から解説します。
- IT全般統制は内部統制の一部
- IT全般統制はJ-SOXによって上場企業に義務化されている
それぞれみていきましょう。
1.IT全般統制は内部統制の一部
内部統制とは、企業が事業活動を健全かつ効率的に運営するための仕組み・活動のことです。
内部統制は、業務の効率化や信頼性のある財務報告、事業活動に関わる法令の遵守、資産の保全などを目的に実施されます。
内部統制の構成要素は、以下の6つです。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング(監視活動)
- IT(情報技術)への対応
そして、IT全般統制は、IT(情報技術)への対応に該当します。
IT全般統制は、ITシステムを用いた業務の効率化や信頼性の確保を目的に実施されます。
経営者や担当者は、IT全般統制を目的を把握したうえで、具体的な取り組みを進めていきましょう。
2.IT全般統制はJ-SOXによって上場企業に義務化されている
IT全般統制は、J-SOX(内部統制報告制度)によって上場企業に義務付けられた取り組みです。
J-SOX(内部統制報告制度)とは、上場企業に対して事業年度ごとに「内部統制報告書」の提出を義務付けた制度です。
具体的に上場企業の経営者には、以下の対応が求められています。
- 財務報告に関する内部統制の整備・運用
- 運用状況の評価
- 公認会計士または監査法人の監査を受けて内部統制報告書を提出
内部統制報告書は、会社の財務計算に関する書類や、情報の適正性を確保するために必要な体制について評価した報告書です。
上場企業の経営者は、定期の監査を受けて内部統制報告書を作成し、有価証券報告書と併せて内閣総理大臣へ提出する義務があります。
IT全般統制とIT全社統制・IT業務処理統制の違い
ITに関する統制は、下記の3つで構成されています。
- IT全社統制
- IT業務処理統制
混合されるケースが多いですが、それぞれで目的や取り組みが異なります。
具体的に解説します。
1.IT全社統制
IT全社統制とは、企業全体のITの健全な監督・維持に関する内部統制です。
IT全社統制では、ITシステムを管理・統制する「仕組み」を作ります。
具体的な取り組みは、以下のとおりです。
- ITに関する戦略・計画・予算などを策定する
- IT戦略を実行できる体制を整備する
- 社内でITに関する教育や研修の方針を策定・実施する
- ホームページでセキュリティポリシーを公開する
- 定期的なシステム監査を実施する
IT業務処理統制やIT全般統制は、IT全社統制で策定された戦略をもと遂行されます。
そのため、経営者や担当者は、IT全社統制の段階で自社に合った適切な戦略の策定が必要です。
経営者や担当者は「何のために」「何をどうやって変えるか」が明確な戦略を策定しましょう。
2.IT業務処理統制
IT業務処理統制とは、ITに関する業務を正確に処理・記録するための内部統制です。
一般的に業務プロセスの中に組み込まれ、業務のたびに同じ処理を行います。
具体的には、以下の4つが例として挙げられます。
- 入力情報の完全性・正確性・正当性等を確保する統制
- 例外処理(エラー)の修正と再処理
- マスタ・データの維持管理
- システムの利用に関する認証・操作範囲の限定などアクセスの管理
企業の情報システムは、適切なIT業務処理統制を行えば継続して機能します。
しかし、システムの変更で必要な内部統制が組み込まれなかったり、プログラムに不正な改ざんやアクセスが行われると、その有効性が保証されない可能性があります。
そのため、これらの不測の事態に対応できるように、全般的な統制活動の適切な整備が必要です。
例えば、システムの開発・変更の際には、既存のシステムと整合性を保っていることを十分に検討しましょう。
加えて、開発・変更の過程を記録・保存すれば、トラブルを未然に防げます。
IT全般統制を構築する4つの要素
IT全般統制は、以下の4つの要素で構成されています。
- システムの開発・保守に係る管理
- システムの運用・管理
- 内外からのアクセス管理等のシステムの安全性の確保
- 外部委託に関する契約の管理
ITシステムの開発から管理、安全性の確保まで組み込まれています。
それぞれの要素を解説します。
1.システムの開発・保守に係る管理
IT全般統制を構築する1つ目の要素は「システム開発・保守に係る管理」です。
経営者がIT全社統制で策定した方針に沿った情報システムの開発や保守管理を行います。
具体的な取り組みは、次のとおりです。
- システムの開発・変更に伴う承認・否認のルールの制定
- システムの事前テストの実施
- システムの移行計画の作成および承認
- 開発から保守までの運用ルールの制定・遵守
上記が不十分な場合、以下のトラブルが発生する恐れがあります。
- 誤った数字で財務情報が生成された
- 経営者が策定した方針とは異なるシステムになってしまった
こういった問題の発生を未然に防ぐために、開発・変更に関するルールの制定やテストの実施が必要です。
2.システムの運用・管理
IT全般統制を構築する2つ目の要素は「システムの運用・管理」です。
システムの運用・管理では、経営者の方針に沿ったシステムを安定稼働させるための運用・管理を行います。
具体的な管理項目は、以下のとおりです。
- 障害管理
- データ管理
- ソフトウェア管理
- ハードウェア管理
- ネットワーク管理
例えば、データ管理では、データ損失に備えたバックアップの取得や、変更履歴のログの保存などを行います。
ハードウェア管理では、ハードウェアを入手してから廃棄するまでの一連の手順・ルールを定めます。
このように、有事を想定した運用ルールの整備すれば、トラブルの未然防止が可能です。
一方で、上記の対応が不十分な場合、以下のトラブルが発生する恐れがあります。
- 誤って売上のデータを削除してしまったうえに、ログを保存しておらず数字の把握ができない
- サーバーがダウンし、バックアップを取っていなかったため、経理情報を取得できない
最悪の場合、データが戻らずに1から作り直すことになりかねません。
情報の正確性の確保はもちろん、効率的に業務を進めるためにも、システムの運用・管理は忘れずに行いましょう。
また、システムの運用管理者と開発担当者を分けておけば、社内システムに関する不正や情報漏洩の防止に繋がります。
3.内外からのアクセス管理等のシステムの安全性の確保
IT全般統制を構築する3つ目の要素は「内外からのアクセス管理等のシステムの安全性の確保」です。
内外からのアクセス管理などシステムの安全性の確保では、アプリケーションやデータベース、サーバーといった企業の情報資産に関するセキュリティー強化やリスク対策を行います。
具体的には、以下の項目の運用ルールを整備しましょう。
- アカウントの新規発行・変更・削除
- 権限の設定・変更
- 特権IDの貸出・付与
- パスワードの設定・管理
- コンピューターウイルス対策
上記のルールを明確に整備すれば、外部からのアクセスに制限が設けられ、情報漏洩のリスクが軽減されます。
仮に情報の改ざんがあった場合でも、アクセス者を特定しやすいため、再犯防止・抑止効果にも繋がるでしょう。
一方で、内外からのアクセス管理等のシステムの安全性の確保が不十分な場合、以下のトラブルに発展する可能性があります。
- 財務情報が入っているデータベースに不正アクセスされ、情報が外部に流出
- 売上データが改ざんされ、正確な数字が把握できない
近年は、企業の情報漏洩や不正アクセスなどの被害規模の大きい事件が多く発生しています。
そのため、IT全般統制においては、特にアクセス管理の徹底とシステムの安全性の確保が重視されています。
十分なシステムの安全性を確保し、企業の信頼や利益の確保に繋げましょう。
4.外部委託に関する契約の管理
IT全般統制を構築する4つ目の要素は「外部委託に関する契約の管理」です。
外部委託に関する契約の管理では、システムの開発・運用を外部委託する際に、委託業者に方針どおりに業務を遂行してもらうためのルール設定や管理を行います。
具体的な取り組みは、以下のとおりです。
- 外部委託の契約書にセキュリティ・評価・監査に関する条項の盛り込み
- 委託業務に関する監査報告書の受取り
- 外部委託先に対する内部監査人・外部監査人による監査
上記の対応が十分に実施されていない場合、以下のトラブルに繋がる恐れがあります。
- 委託業務の範囲が不明確であったため、求めていた業務が遂行されい
- セキュリティに関する取り決めが曖昧であったため、外部委託先から個人情報が流出
- 契約書に監査の実施に関する条項の記載が漏れており、監査が実施できない
外部委託の契約時に認識の齟齬があると、意図とは違う業務が行われる可能性があります。
外部委託の際は、トラブルなく確実に業務を遂行してもらうために、契約の時点で監査やセキュリティ面の認識の擦り合わせを必ず行いましょう。
また、SaaS型のクラウドシステムを導入する際にも、外部委託と同様の注意が必要です。
なぜなら、SaaS型のクラウドシステムも、データの管理運用を外部に委託している状態と同じであるためです。
SaaS型のクラウドシステムを利用する際は、上場企業の導入実績や、先方が提供している内部統制に関する資料を確認するようにしましょう。
クラウドとは?サービスの種類やメリット・デメリットを3つに分けて解説
IT全般統制を進める際の3つのポイント
IT全般統制を進める際のポイントは、以下の3つです。
- 統制と効率を配慮したルールを設定する
- 設定したルールを遵守し、定期的に評価する
- 適切な人材を担当者にする
上記の3つは、IT全般統制の運営で特に重視すべきポイントです。
ひとつずつ解説します。
1.統制と効率を配慮したルールを設定する
IT全般統制を進める際は、統制と効率に配慮したルールを設定しましょう。
どちらかに偏ったルールでは、担当者に負荷がかかり、最適な運営が行えない可能性があります。
例えば、以下のシステム変更のルールを設定したとします。
- システムの変更は2人体制で行う
- 3段階の承認プロセスを経てから変更を行う
上記のルールは、システム変更に伴うトラブルリスクが低く、高い統制が取れたルールといえます。
一方で、3段階の承認プロセスを踏むため、効率性が良いとはいえません。
業務の効率性が悪いと、制定した運用ルールが形骸化する恐れがあります。
そのため、ルールを設定した際には、一度統制と効率のバランスが取れているか確認しましょう。
今回のケースでは、承認プロセスを2段階に減らせば、統制と効率に配慮したルールになります。
2.設定したルールを遵守し、定期的に評価する
統制と効率に配慮したルールが設定できたら、ルールの遵守を徹底して、業務を進めましょう。
自社の方針を元に設定されたルールであるため、ルールどおりに運用されなければ、求める効果を得られません。
また、実際に運用してみると、思いのほか担当者の負荷が高く、統制が十分に取れていない場合があります。
そのため、運用後は定期的に取り組みを評価し、改善するプロセスも重要です。
一度設定したルールでも、常に改善はできないか検討し、より良い運営を行なっていきましょう。
3.適切な人材を担当者にする
IT全般統制では、ITシステムの開発・構築から評価や改善、システム運用のルール設定までを行います。
これらを実務レベルで行うためには、以下に該当する適切な人材の選定が必要です。
- ITシステムの導入・開発・運用の経験・知識がある
- 内部統制の実務経験・知識がある
- 会計などの財務情報の数字を扱うバックオフィス業務の実務経験・知識がある
- 上場監査・システム監査の実務経験・知識がある
とはいえ、上記の条件をすべて兼ね備えた人材の発掘・育成は難しいため、それぞれの条件に該当する人材を担当者にしましょう。
複数人の担当者を設けることで一人あたりの負担が軽減し、漏れのない適切な運営が見込めます。
エンジニアの採用が難しい6つの理由とは。企業側の課題と採用を上手く進める方法を解説
IT全般統制に必要な2つの部門
IT全般統制に必要な部門は、以下の2つです。
- 情報システム部門
- 内部監査部門
情報システム部門と内部監査部門では、それぞれ得意・不得意分野があります。
例えば、情報システム部門は、IT・コンピューターに関する専門知識はありますが、内部監査部門ほど内部監査の知識を持っていません。
一方で内部監査部門は、ITの知識は情報システム部門に劣っていますが、内部監査の知識や社内全体を見る力に優れています。
このように、2つの部門でお互いに足りない部分を補いながらIT全般統制を進めていきます。
それぞれの具体的な業務内容をみていきましょう。
1.情報システム部門
情報システム部門では、IT全般統制の以下の3つの要素を担当します。
- システムの開発・保守に係る管理
- システムの運用・管理
- 内外からのアクセス管理等のシステムの安全性の確保
情報システム部門は、ITシステムの開発・保守はもちろん、運用・管理もできる人材の配置が必要です。
加えて、自ら作り上げたシステムに対して自己監査も行うため、監査の視点も持っている人材の配置が好まれます。
また、担当者は、自社に最適で時代に合ったITシステムを開発するために、IT情報のアップデートが欠かせません。
情報システム部門の実務では、自社の問題に対する解決策を検討しつつ、リスク面の判断も行いながらITシステムを開発していきます。
IT全般統制は、情報システム部門が先導役となり、運営・管理を含めて行なっていきましょう。
2.内部監査部門
内部監査部門の主な業務は、情報システム部門の開発したITシステムの内部監査です。
IT全般統制の「外部委託に関する契約の管理」を担当します。
実務では、自社の目的や方針に沿ってITシステムが正常に稼働しているか第三者として評価します。
担当者はITシステムに対して監査を行うため、内部監査の知識はもちろん、ITに関する知識も必要です。
そのため、情報システム部門や、そのほかのITに関わる部門に所属していた社員が配置されるケースがほとんどです。
IT関係の仕事15選!年収や未経験から就職するステップを徹底解説
IT全般統制の評価項目チェックリスト
IT全般統制の評価項目チェックリストは、以下のとおりです。
- 経営者は、ITに関する適切な戦略、計画等を定めているか。
- 経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
- 経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
- ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリスクが考慮されているか。
- 経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続きを適切に定めているか。
上記の5つは、企業会計審議会によって定義されています。
内部監査・外部監査において確認される項目のひとつです。
そのため、経営者には、上記を意識した戦略の策定から運営が求められます。
まとめ:IT全般統制は上場企業に義務化された内部統制のひとつ
本記事では、IT全般統制の概要や構成要素、具体例を解説しました。
ポイントを以下にまとめます。
- IT全般統制とは、J-SOX(内部統制報告制度)によって上場企業に義務付けられた、ITシステムを安全かつ効率的に運用するための仕組みや活動のこと。
- IT全般統制は、「システムの開発・保守に係る管理」「システムの運用・管理」「内外からのアクセス管理等のシステムの安全性の確保」「外部委託に関する契約の管理」の4つで構成されている。
- 効果的なIT全般統制を行うには、適切な人材の配置と、定期的なルールの評価と改善が必要。
これからIT全般統制を進めている経営者や担当者は、構成要素ごとの取り組み方を参考にしてみてください。
また、IT全般統制の取り組みにつまずいている方は、まずはルールや担当者の見直しをおすすめします。
