IT統制とは?内部統制における役割からITGC·ITAC·J-SOX対応まで実務担当者向けに解説
kanri
最近、ニュースを見ていると「大規模システム障害で業務停止」「個人情報漏えいで謝罪会見」といった見出しが目に入ることが増えました。
企業活動はいまやITなしでは成り立ちません。だからこそ、「IT統制」の重要性が高まっています。 ただ、「IT統制」と聞いても、具体的に何をすればよいのかピンとこない方も多いのではないでしょうか。
今回は、IT統制の基本について解説します。
そもそも、IT統制とは何か?
IT統制とは、企業の内部統制の一部であり、ITを使った業務を安全・正確に行うための仕組みを指します。例えば、次のようなケースを考えてみてください。
ケース1:退職した社員のアカウントが残ったまま
企業Aでは、退職した社員のシステムアカウントが削除されずに放置されていました。数か月後、そのアカウントを使って不正アクセスが行われ、顧客情報が流出。誰がアクセスしたのか特定できず、対応に多大な時間とコストがかかりました。
ケース2:バックアップを取っていなかった
企業Bでは、重要な販売データをクラウドに保存していましたが、バックアップは取っていませんでした。ある日、サービス障害で過去3か月分の売上データが失われ、復旧できませんでした。
こうした問題を防ぐために必要なのがIT統制です。目的は大きく3つあります。
情報の信頼性を確保する
財務データや顧客情報が正しく処理・管理されるよう、データの正確性を担保する仕組みが必要です。
リスクを低減する
不正アクセスを防ぎ、システム障害による業務停止リスクを減らします。
前述の事例のように、適切なアクセス管理やバックアップ体制がなければ、企業は大きな損失を被る可能性があります。
法令やルールを遵守する
金融商品取引法に基づく内部統制報告制度(いわゆるJ-SOX)に対応します。
これは、上場企業などが財務報告の信頼性を確保していることを証明するための仕組みです。特に上場企業やIPO準備企業では、IT統制の整備が監査の重要なチェックポイントとなります。
つまり、IT統制とは「企業の信頼性を守るための安全ネット」です。
内部統制におけるIT統制の定義と4つの目的
金融庁が定める基準において、内部統制には4つの目標が掲げられています。それは「業務の有効性及び効率性」「財務報告の信頼性」「法令等の遵守」「資産の保全」です。
近年、ビジネスのIT依存度が高まる一方であり、これら4つの目標を達成するためには、情報技術(IT)の適正な活用が前提条件となっています。そのため、IT統制が不十分な状態では、全社レベルでのガバナンスが機能しなくなってしまいます。IT環境の健全性を客観的に評価し、ギャップを修正し続ける維持管理のプロセスが、組織運営には欠かせません。
上場企業やIPO準備企業向けには、金融商品取引法に基づく内部統制報告制度(いわゆるJ-SOX)への適用が義務付けられ、IT統制の整備状況は内部監査や外部監査における主たるチェックポイントとなります。
つまり、IT統制とは「企業の信頼性と資産を守るための安全ネット」なのです。
IT統制を構成する2つの柱
内部統制に関わるITの領域は、主に「IT全般統制(ITGC)」と「業務処理統制(ITAC)」という2つのレベルに分類されます。
それぞれに重要な役割とコントロール手続きが存在します。
IT全般統制(ITGC)とは
IT全般統制(ITGC)は、システム開発・保守の管理、アクセス管理、運用・維持管理、外部委託先管理という4つの領域で構成されます。
各領域の詳細な評価手順やRCMの作り方については、以下の記事で詳しく解説しています。
IT全般統制(ITGC)とは?4領域の項目や目的、評価手順を解説(未公開)
アクセス管理の事例
ある製造業では全社員が管理者権限を持っていたため、誤って取引先マスタが削除され請求書発行システムが停止しました。
【対策】
従業員ごとにIDとパスワードによる認証を設定し、職務の役割に応じて必要最小限の権限のみを付与するようポリシーを定めました。
アクセス管理の核心である「職務分離(SOD)」の詳細はこちらで解説しています。
職務権限分離(SoD)とは内部統制における重要性と不正を防ぐ運用のポイント(未公開)
システム変更管理の事例
あるECサイト運営企業では、新機能を本番環境で直接リリースしたところ、注文処理に不具合が発生。数時間にわたって注文を受け付けられなくなり、売上機会を失いました。
【対策】新しいシステムや機能の開発時には、必ずテスト環境で動作確認を行ってから本番環境へ移行する手順を義務化しました。
変更の申請から承認までの流れを記載した文書を記録として残すことも大切です。
業務処理統制(ITAC)とは
業務処理統制(ITAC)は、個別の業務アプリケーション内で処理されるデータの正確性、網羅性、正当性を保証するための統制です。経理や人事など、各現場のユーザーが関わる日々の作業プロセスにおいて、ヒューマンエラーや不正行為を未然に防止・発見する仕組みを指します。
入力チェックの事例
経理部門で、振込金額を「1,000,000円」と入力すべきところ、「10,000,000円」と桁を間違えて手入力してしまいました。承認者も気づかず承認し、10倍の金額が振り込まれる事態に!
【対策】
システム上でマイナス値や異常な桁数の入力を制限する、あるいは必須項目を空欄のまま登録できないようにする自動チェック機能をプログラムに組み込みます。
データ突合の事例
ある卸売業では、発注システムと在庫管理システムが連携していなかったため、「システム上は在庫があるが実際には欠品」という事態が頻頻に発生していました。
【対策】
複数の製品データやシステム間で情報の整合性を自動的に突き合わせるコントロールを実装します。
一致しない部分(ギャップ)があればアラートを出す仕組みにすることで、業務効率を高めつつミスを早期に修正できます。
内部統制報告制度(J-SOX)とIT統制
内部統制報告制度(J-SOX)とは、上場企業が自社の財務報告に係る内部統制の有効性を評価し、その結果を記載した「内部統制報告書」を毎年提出することを義務付ける制度です(金融商品取引法に基づく)。投資家保護と財務データの信頼性確保が主な目的であり、経営者による評価と監査法人による監査の両方が求められます。
財務会計システムや基盤となるネットワーク·クラウドサービスが適切に管理されているかという「IT統制」の状況が特に重視されます。
J-SOX対応の具体的な手順
- 評価範囲の確定:財務報告への影響度が大きい主要な事業拠点·業務プロセスをピックアップ
- 3点セットの作成:業務記述書·フローチャート·リスクコントロールマトリクス(RCM)
- 証跡(エビデンス)の記録:操作ログの確認や承認プロセスのチェック
評価範囲の決め方·3点セットの作成手順·不備事例·監査法人対応の詳細はこちらで解説しています。
J-SOXでのIT全般統制とは?評価範囲の決め方や監査対応のポイント(未公開)
監査法人が重視するポイント
- 仕訳データを誰でも自由に修正できる状態になっていないか(アクセス管理)
- 変更履歴がルール通りに残されているか(システム変更管理)
- 委託先のコントロール状況をどのように把握しているか(外部委託管理)
不備が発見された場合、「開示すべき重要な不備」として指摘される可能性があります。監査を通じてIT統制の不備を早期に発見・修正しておくことで、本監査をスムーズに進めることができます。
IT統制の構築を進める6つのステップ
IT統制の重要性を理解したとしても、具体的な進め方が分からなければ実効性のある基盤は築けません。
会社がIT統制を円滑に導入し、適正に維持管理していくための基本的なプロセスを6つの段階に分けて解説します。
ステップ1:基本方針の策定と責任の明確化
最初に実施すべきは、経営陣による基本方針の策定です。
IT統制の構築は特定の部門だけで完結するものではなく、全社的な事業活動に影響を与えるため、経営レベルでのコミットメントが不可欠です。誰がどの範囲に責任を持つのか、職務の権限と責任を明確に定めます。
ステップ2:現状のIT環境と業務プロセスの把握
自社で使用しているシステムやITインフラ、ネットワークの現状を一覧化し、どのような業務に依存しているかを把握します。
会計システムや人事システム、販売管理を担うERPなど、財務報告に係る重要なシステムを対象としてリストアップを行います。
ステップ3:ITリスクの識別と評価
把握したIT環境において、不正アクセスやプログラムのエラー、操作ミスなど、どのようなリスクが存在するかを洗い出します。
リスクが事業に及ぼす影響の大きさと、発生する可能性の度合いを掛け合わせて評価し、優先的に対策を講じるべき要素を特定します。
ステップ4:コントロールの手続きを設計
識別したリスクを防ぎ、データの完全性や安全性を確保するための具体的な方法を定めます。
例えば、
- システムの変更履歴を確実に残すこと
- 本番環境への反映前に必ず承認を得ること
- マスタデータの変更権を限定すること
など、ルールを文書(規程やマニュアル)に落とし込みます。
ステップ5:運用の開始と従業員への伝達
設計したコントロール手続きを実際の業務に組み込み、運用を開始します。
この段階では、現場の従業員に対してルールの目的や重要性を正しく伝達し、周知徹底することが円滑な運用の鍵となります。
ステップ6:モニタリングの実施と継続的な修正
仕組みは作って終わりではありません。コントロールが計画通りに実行されているかを定期的に確認するモニタリング体制を確立します。
不備が見つかった場合や、新たなシステム導入の際には、速やかに再評価を行い、仕組みを常に修正・アップデートし続けるバランスが大切です。
ERP導入と大規模システム開発におけるIT統制の要件
企業が成長する過程や、業務の効率化を目指す段階において、ERP(企業資源計画)などの基盤システムを刷新するケースが増えています。
しかし、システム開発や導入の進め方を誤ると、IT統制上の大きな課題を抱えるリスクが生じます。大規模なシステム開発やリプレイスの際には、開発の初期段階からIT統制の要素を考慮に入れておく必要があります。要件定義の時点で、入力エラーを防ぐチェック機能や、データ突合の自動コントロールなどをあらかじめプログラムの仕様に組み込んでおくことが重要です。
また、開発完了から本番稼働へと進む先のプロセスでも厳格な管理が求められます。
テスト環境での検証結果の履歴を正しく保管し、本番環境への移行が承認者の許可を得て行われたという証跡を残すことで、不適切なプログラムが紛れ込む可能性を排除し、システムの安定性と完全性を担保できるようになります。
外部委託先管理の重要性と監査法人が重視する点
現代のビジネスにおいて、システム開発を外部のシステム開発会社に委託したり、インフラとしてクラウドサービスを利用したりすることは一般的です。
しかし、業務を委託したからといって、企業としての管理責任まで免除されるわけではありません。外部委託先のセキュリティ体制や保守運用の品質は、自社のIT統制に直接的な影響を与えます。
そのため、以下のポイントを重視した委託先管理の手続きが不可欠です。
- 選定基準の明確化:委託先の安全性や信頼性を評価する基準を設ける
- 契約書での定義:責任の範囲や情報保護に関する条項を契約内容に含める
- 定期的なモニタリング:委託先の運用状況やログの管理体制を定期的に確認する
内部統制報告制度(J-SOX)の対象となる会社では、監査法人から「委託先のコントロール状況をどのように把握しているか」を厳しく問われる傾向があります。
委託先が独立した監査人から取得した受託業務の内部統制評価報告書(SOC1/SOC2レポートなど)を活用することで、自社での確認手続きを効率化し、監査対応を円滑に進めることが可能になります。
IT統制がもたらす内外への効果と今後の展望
IT統制の構築と維持には、一定のコストや工数が発生することは事実です。しかし、それを上回る大きな効果を会社にもたらします。
社内における効果としては、業務プロセスの透明性が高まり、ヒューマンエラーや不正の機会を最小限に抑えられる点が挙げられます。また、データの完全性が担保されることで、経営陣は正確な情報に基づいた意思決定を迅速に行うことができるようになり、事業の効率性と安全性を高度なレベルで両立させることが実現します。
社外における効果としては、取引先や株主、監査法人との関係において、ガバナンスが強固な会社であるという社会的信用を獲得できる点が挙げられます。特にB2Bビジネスを展開する企業や、IPOを目指す段階の企業にとっては、IT統制が整備されていることが競争優位性を生み出すプロの証明となります。
これからの時代、AIの活用やリモートワークの常態化など、IT環境はさらに変化し続けます。
新しい技術を恐れることなく、変化に沿った柔軟な統制プランを策定し、実行し続けることこそが、企業の持続的な成長を支える攻めの基盤となるのです。
IT統制を整備する4つのメリット
「IT統制の構築にはコストや人材、無駄な手間がかかり、適正な運用を続けるのは難しい」と感じる方もいるかもしれません。しかし、長期的には企業に多くの利益をもたらすビジネスインフラとなります。
信頼できる業務プロセスと判断の迅速化
データの信頼性がシステムレベルで保証されるため、経営会議で提示される現状の数字を信頼して、迷いなく次の事業計画や方針を策定できるようになります。
顧客や外部パートナーからの信頼向上
株式会社などの組織において、大手企業との新規契約時や取引開始前の段階で、社内のセキュリティ対策やITリスク管理の体制について詳細の提示を求められる機会が増えています。
IT統制の一覧や基準が明確になっていれば、外部への客観的な証明に役立ちます。
業務の効率化とエラーの削減
適切なシステムツールの導入や自動化を進めることで、手作業による二重チェックの無駄を省き、従業員の負担を減らしながら業務の効率性を達成できます。
監査指摘リスクと法令違反の低減
J-SOXへの対応や上場審査を進める段階の企業では、独立した第三者である内部監査人や外部監査人から不備を指摘されるリスクを最小限に抑えます。
事後の修正手続きに関わるリソースを大幅に削減できます。
守りが攻めを支える
IT統制というと、リスクを制限する「守り」のイメージが強いかもしれません。しかし、実は「攻めの経営」を継続するための強固な資産でもあります。
例えば、あるクライアント企業では、情報システム部門と各事業部門が連携してIT統制の改善を推進した結果、システムの安定稼働レベルが向上し、新規製品のリリースに向けた開発期間が大幅に短縮されました。
しっかりとした基本方針と組織体制という土台があるからこそ、企業は不確実なビジネス環境の中でも恐れずに新しい挑戦を続けることができます。
IT統制に関するよくある質問(FAQ)
IT統制の構築や運用を進めるにあたり、多くの企業の担当者から寄せられる代表的な疑問とその回答をFAQ形式でまとめました。
質問:IT統制と情報セキュリティ対策の違いは何ですか
回答:
目的と範囲に違いがあります。
情報セキュリティ対策は、機密性、完全性、可用性を維持し、サイバー攻撃や情報漏えいといった外部・内部の脅威から情報資産を保護することを主眼に置いています。一方で、IT統制は内部統制の一部であり、業務が安全かつ正確に行われ、財務報告の信頼性が正しく担保されているかというガバナンスの仕組みに重点を置きます。
セキュリティ対策は、IT統制を成立させるための重要な要素(手段)の一つという関係性にあります。
質問:J-SOXの対象ではない非上場の中小企業でもIT統制は必要ですか
回答:
法令上の義務はありませんが、事業の安定と成長のために必要性が高まっています。
現代のビジネスは会社の規模を問わずシステムやネットワークに強く依存しているため、IT統制の不備によるシステム障害や不正操作、データの喪失といったリスクは一様に存在します。また、大手企業との取引開始時や、外部委託契約を締結する段階で、安全性の証明としてIT統制の整備状況を確認されるケースが増えています。
自社の資産を守り、社会的信用を確保するためにも、基本的な統制を整えておくことをお勧めします。
質問:IT統制の評価や監査はどのくらいの頻度で実施すべきですか
回答:
一般的には最低でも年に1回、定期的なモニタリングと評価を実施します。
ただし、全社的な基幹システムの刷新やERPの導入、重要なプログラムの変更管理など、IT環境に大きな影響を与える要素が発生した場合には、その都度、再評価を行う必要があります。
運用方針の変更日や更新日に沿って、継続的に仕組みをチェックする体制を維持することが大切です。
質問:情報システム部門だけでIT統制のすべてを担うことは可能ですか
回答:
不可能です。
IT全般統制(ITGC)の基礎となるITインフラやネットワークの維持管理は主に情報システム部門が責任を担いますが、日々の業務アプリケーションの入力チェックやデータ突合といった業務処理統制(ITAC)は、経理や人事、営業など、システムを実際に使用する現場の従業員や責任者が担う領域です。
双方の部門が密に連携し、組織全体で取り組む必要があります。
IT統制の構築に向けた第一歩
IT統制は、企業の規模や現在の状況を問わず、事業活動の健全性を維持するために不可欠な取り組みです。一歩ずつ着実に進めるための計画として、まずは以下のような基本的な項目から見直しを検討することをお勧めします。
- 従業員の人事異動や退職時のアカウント削除手続きをルール化し、周知する
- 重要なITインフラやデータのバックアップを定期的に取得し、復旧訓練を行う
- システムの変更を本番環境へ反映させる前のテスト手順を定義する
- 社内での研修やセミナー等を通じて、IT統制の必要性を各部門へ共有する
当社では、内部統制の構築支援や情報セキュリティの視点から、企業のIT統制強化を伴走サポートするパートナーとしてサービスを提供しています。
「何から始めればよいかわからない」「現状のレベルを把握したい」といった場合も、お気軽にご依頼・ご相談ください。
