- 更新日 : 2024年11月28日
IT全般統制とは?主な領域やメリット、導入プロセスを解説
IT全般統制とは、業務に利用するITシステムを正しく運用管理するための統制活動を指します。個人情報や機密情報の漏えいを防止し企業の信頼を維持していくために、IT全般統制によってITシステムの運用管理ミスや不正を防ぐことが重要です。
本記事では、IT全般統制の概要や主な領域、メリット、導入プロセスについて解説します。
目次
IT全般統制とは
はじめに、IT全般統制の概要や重要性について解説します。
IT全般統制の概要
IT全般統制は、金融庁によって以下のように定義されています。
「ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。」
出典:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
簡単にいうと、業務に利用するITシステムを適切に運用管理するための統制活動のことです。英語では「Information Technology General Control」と呼ばれ、「ITGC」と略されます。
IT全般統制は内部統制の一部であり、ITシステムを効果的に運用管理することで、業務効率化や企業の信頼性向上を実現することを目的としています。
企業のITシステムにおけるガバナンス強化の重要性
社内の業務効率化やコスト削減を図る上で、今やITシステムの活用は不可欠になっています。しかし、いかに優れた機能を持つITシステムを構築したとしても、正しく運用管理されていなければ十分な経営効果を発揮することは難しいでしょう。
さらには不適切な運用管理によって機密情報の流出などのインシデントが生じる可能性もあるため、IT全般統制によってITシステムの運用管理ミスや不正を防ぐことが重要です。
IT全般統制の主な領域
IT全般統制には、主に以下の4つの領域があります。
- システムの開発、保守に係る管理
- システムの運用・管理
- 社内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
システムの開発、保守に係る管理
まず、システムの開発および保守に関する運用管理の領域が挙げられます。例えば以下のような事項の管理がこの領域に当てはまります。
- 機能の追加・変更の際の申請・承認ルール
- プログラムのテストを実施する際のルール
- システムを移行する際の移行計画の作成フォーマットや移行結果の報
- 告様式、承認プロセスなど
システムの運用・管理
導入後のシステムの運用・管理に関わる領域です。この領域の管理対象として、以下のような事項が挙げられます。
- システム障害が発生した際のエスカレーションルール
- データのバックアップ頻度や保存場所、保存期間
- ソフトウェアの利用状況の一覧化
- ハードウェアの調達から廃棄までの手順
- IPアドレスなどのネットワーク構成
社内外からのアクセス管理などシステムの安全性の確保
社内のITシステムに対する社内外からのアクセスについて管理する領域です。例えば以下のような事項がこの領域に含まれます。
- ユーザーアカウントの発行や変更、削除の際のルール
- ユーザーアカウントの棚卸しの方法や頻度
- 部署や役職に応じたアクセス権限の設定ルール
- 部署異動や役職変更に応じた定期的なアクセス権限の棚卸し
- データ改変やプログラム修正が可能な特権IDの付与ルール
- データセンターへの入退室管理など
近年ではサイバー攻撃による不正アクセスなどの事例が多く、情報漏えいなどの被害を被るリスクがあるため、企業の信頼性や利益を守るために、アクセス管理は重要な役割を持っています。
外部委託に関する契約の管理
システム開発や運用保守を外部ベンダーに委託する際の契約を管理する領域です。例えば以下のような事項が挙げられます。
- 機密情報、個人情報の保管や取り扱いルール
- 業務を実施する場所やサーバー環境、人員体制
- 業務委託の範囲や成果物、納期などの取り決め
- 業務委託先に対する監査の実施方法や確認内容、実施頻度
クラウドシステムを利用する場合は、データの保管や運用も外部に委託することになるため、クラウドシステムの稼働実績や内部統制の実施報告書などを確認することも重要です。
IT全般統制の導入メリット
IT全般統制には、次のようなメリットがあります。
メリット1.業務効率化
IT全般統制を導入することで、担当者ごとに異なるシステムの利用方法を統一できるようになります。データの入力方法や形式、保管場所なども一元化されることで情報共有のスピードも向上し、業務効率化につながるでしょう。
メリット2.セキュリティリスクの軽減
IT全般統制によってデータの保管ルールや情報を持ち出す際の申請・承認プロセスなどを制定することで、情報漏えいなどのセキュリティリスクを軽減できます。システムに対する社内外からのアクセス管理を徹底することにより、外部からのサイバー攻撃や内部不正のリスクを軽減することも可能です。
メリット3.内部統制の強化
部署や立場に応じたユーザーアカウントやアクセス権限を管理することで、社内情報へのアクセスを最小限に留めることができ、内部統制の強化につながります。また、予算の制約で高度なセキュリティソフトなどの購入が難しい中小企業においても、IT全般統制によって社内の管理意識を高めることで、不正を未然に防止する環境を整備することができます。
IT全般統制の導入プロセス
ここでは、IT全般統制の導入プロセスについて、IT全般統制の導入前と導入後に分けて解説します。
1.IT全般統制の導入前:合意形成や体制作り、フォーマット整備を行う
IT全般統制の導入準備として、IT全般統制の必要性やメリットについて役員層をはじめとする社内の関係者に説明し、合意形成を図る必要があります。また、IT全般統制の導入を進めるにあたって、導入プロジェクトを発足してプロジェクト計画やプロジェクト体制を整備します。
IT全般統制の実装面では、実際に運用する管理フォーマットなどの作成や運用ルールの取り決めを行っていきます。管理フォーマットの作成においては、監査対応での活用も意識して、証跡の内容や保存日時、承認者などの項目を設けて記録を取っていくことが重要です。
2.IT全般統制の導入後:日々の運用に落とし込み、継続的な管理と改善を行う
IT全般統制の導入後は、通常の業務運用に落とし込み、計画通りに統制を行えているかの確認を行っていきます。実際に運用することで、運用負荷が高いなどの改善点が見えてくることもあるため、運用しながら適宜見直しを図っていきましょう。
監査対応の直前に慌てないよう、日頃からアカウントの棚卸し結果やアクセスログなどの証跡を最新状態に保ち、関係者間で共有できるフォルダなどで管理しておくことが重要です。
まとめ
IT全般統制は内部統制の一部であり、ITシステムを効果的に運用管理していくための統制活動を指します。主に業務効率化や企業の信頼性向上の実現を目的としており、セキュリティインシデントやコンプライアンス違反を防止する上で重要な役割を果たします。
IT全般統制の導入にあたっては、社内の合意形成や体制整備、管理フォーマット類の準備を行う必要があります。導入後も定期的に点検・見直しをしつつ、監査対応に向けて証跡を常に最新化しておくことも重要となるでしょう。
この記事をお読みの方におすすめのガイド4選
最後に、この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。
やることリスト付き!内部統制構築ガイド
内部統制を基礎から知りたい方・内部統制の導入を検討している担当の方・形式だけになっている内部統制を見直したい方におすすめの人気ガイドです。
内部統制の基本と内部統制構築のポイントをギュッとまとめています。
J-SOX 3点セット攻略ガイド
すべての上場企業が対象となるJ-SOX(内部統制報告制度)。
本資料では、IPO準備などでこれからはじめてJ-SOXに対応する企業向けにJ-SOXの基本からその対応方法までをまとめた、役立つガイドです。
経理担当者向け!Chat GPTの活用アイデア・プロンプトまとめ12選
経理担当者がChat GPTをどのように活用できるか、主なアイデアを12選まとめた人気のガイドです。
プロンプトと出力内容も掲載しており、コピペで簡単に試すことも可能です。
マネーフォワード クラウド会計Plus サービス資料
マネーフォワード クラウド会計Plusは、IPO準備・中堅〜上場企業向けの業務効率化と内部統制強化を実現するクラウド会計ソフトです。
銀行やクレジットカード連携で取引データを自動取得、AIによる自動仕訳で会計業務を効率化。周辺システムと連携することで、二重入力や確認工数を削減します。また、仕訳承認機能やユーザーごとの権限・ログ管理機能を搭載しており、内部統制にも対応。SOC報告書も提供しています。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
内部統制におけるロールフォワードとは?必要性や実施手順を説明
上場を目指す場合、内部統制報告書の提出は重要なプロセスです。しかし、「内部統制の評価・改善がうまくいかない」「期末日までに準備できるか不安」などの悩みを持つ方もいるのではないでしょうか。そういったときはロールフォワード評価を利用すれば、期末…
詳しくみる内部統制の有効性を検証するCSA(統制自己評価)とは?メリットやデメリットを説明
内部統制のCSAとは、内部監査部門ではなく、該当部門のメンバー自らが監査に携わる統制自己評価のことです。内部統制を進めるうえで、関係者の意識を高めることができ、内部監査を自分ごととして捉えてもらえます。 この記事では、内部統制の有効性を検証…
詳しくみるIPOを目指す企業が行うべきセキュリティ対策とは?必要な理由や課題を解説
中小企業の中には、IPO実現を目指している企業もいるでしょう。企業が上場を目指す過程では、多くの機密情報が外部に公開されるリスクが高まります。 不正アクセスや情報漏洩を防ぐため、適切なセキュリティ対策を講じることは、投資家の信頼を得るための…
詳しくみる法務デューデリジェンス(法務DD)とは?M&Aでの目的や費用・進め方を解説
企業買収や投資を成功させるために、法務デューデリジェンスは欠かせないステップです。具体的な業務内容は、法的リスクを徹底的に調査・分析し、適切な対応策を立てて実行することです。 契約リスクや法的問題を見逃すと、取引後に大きな損害を被る可能性が…
詳しくみる内部通報制度の問題点とは?主な課題と改善策を解説
内部通報制度(公益通報制度)は、企業内の不正行為を従業員が匿名または記名で通報できる仕組みです。日本では2006年の公益通報者保護法施行以降、多くの企業がこの制度を導入し、2022年改正法で従業員301人以上の事業者には制度整備が義務化され…
詳しくみる2023年4月に内部統制基準が改訂!見直しの背景や変更内容について解説
2023年4月に、内部統制の実施基準が改訂されました。 企業のリスク管理やガバナンス強化を目的としており、具体的な変更点や企業への影響は計り知れないものがあります。 本記事では、最新の改訂内容を解説し、企業がどのように対応すべきかを詳細に説…
詳しくみる