- 更新日 : 2024年11月28日
IT全般統制とは?主な領域やメリット、導入プロセスを解説
IT全般統制とは、業務に利用するITシステムを正しく運用管理するための統制活動を指します。個人情報や機密情報の漏えいを防止し企業の信頼を維持していくために、IT全般統制によってITシステムの運用管理ミスや不正を防ぐことが重要です。
本記事では、IT全般統制の概要や主な領域、メリット、導入プロセスについて解説します。
目次
IT全般統制とは
はじめに、IT全般統制の概要や重要性について解説します。
IT全般統制の概要
IT全般統制は、金融庁によって以下のように定義されています。
「ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。」
出典:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
簡単にいうと、業務に利用するITシステムを適切に運用管理するための統制活動のことです。英語では「Information Technology General Control」と呼ばれ、「ITGC」と略されます。
IT全般統制は内部統制の一部であり、ITシステムを効果的に運用管理することで、業務効率化や企業の信頼性向上を実現することを目的としています。
企業のITシステムにおけるガバナンス強化の重要性
社内の業務効率化やコスト削減を図る上で、今やITシステムの活用は不可欠になっています。しかし、いかに優れた機能を持つITシステムを構築したとしても、正しく運用管理されていなければ十分な経営効果を発揮することは難しいでしょう。
さらには不適切な運用管理によって機密情報の流出などのインシデントが生じる可能性もあるため、IT全般統制によってITシステムの運用管理ミスや不正を防ぐことが重要です。
IT全般統制の主な領域
IT全般統制には、主に以下の4つの領域があります。
- システムの開発、保守に係る管理
- システムの運用・管理
- 社内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
システムの開発、保守に係る管理
まず、システムの開発および保守に関する運用管理の領域が挙げられます。例えば以下のような事項の管理がこの領域に当てはまります。
- 機能の追加・変更の際の申請・承認ルール
- プログラムのテストを実施する際のルール
- システムを移行する際の移行計画の作成フォーマットや移行結果の報
- 告様式、承認プロセスなど
システムの運用・管理
導入後のシステムの運用・管理に関わる領域です。この領域の管理対象として、以下のような事項が挙げられます。
- システム障害が発生した際のエスカレーションルール
- データのバックアップ頻度や保存場所、保存期間
- ソフトウェアの利用状況の一覧化
- ハードウェアの調達から廃棄までの手順
- IPアドレスなどのネットワーク構成
社内外からのアクセス管理などシステムの安全性の確保
社内のITシステムに対する社内外からのアクセスについて管理する領域です。例えば以下のような事項がこの領域に含まれます。
- ユーザーアカウントの発行や変更、削除の際のルール
- ユーザーアカウントの棚卸しの方法や頻度
- 部署や役職に応じたアクセス権限の設定ルール
- 部署異動や役職変更に応じた定期的なアクセス権限の棚卸し
- データ改変やプログラム修正が可能な特権IDの付与ルール
- データセンターへの入退室管理など
近年ではサイバー攻撃による不正アクセスなどの事例が多く、情報漏えいなどの被害を被るリスクがあるため、企業の信頼性や利益を守るために、アクセス管理は重要な役割を持っています。
外部委託に関する契約の管理
システム開発や運用保守を外部ベンダーに委託する際の契約を管理する領域です。例えば以下のような事項が挙げられます。
- 機密情報、個人情報の保管や取り扱いルール
- 業務を実施する場所やサーバー環境、人員体制
- 業務委託の範囲や成果物、納期などの取り決め
- 業務委託先に対する監査の実施方法や確認内容、実施頻度
クラウドシステムを利用する場合は、データの保管や運用も外部に委託することになるため、クラウドシステムの稼働実績や内部統制の実施報告書などを確認することも重要です。
IT全般統制の導入メリット
IT全般統制には、次のようなメリットがあります。
メリット1.業務効率化
IT全般統制を導入することで、担当者ごとに異なるシステムの利用方法を統一できるようになります。データの入力方法や形式、保管場所なども一元化されることで情報共有のスピードも向上し、業務効率化につながるでしょう。
メリット2.セキュリティリスクの軽減
IT全般統制によってデータの保管ルールや情報を持ち出す際の申請・承認プロセスなどを制定することで、情報漏えいなどのセキュリティリスクを軽減できます。システムに対する社内外からのアクセス管理を徹底することにより、外部からのサイバー攻撃や内部不正のリスクを軽減することも可能です。
メリット3.内部統制の強化
部署や立場に応じたユーザーアカウントやアクセス権限を管理することで、社内情報へのアクセスを最小限に留めることができ、内部統制の強化につながります。また、予算の制約で高度なセキュリティソフトなどの購入が難しい中小企業においても、IT全般統制によって社内の管理意識を高めることで、不正を未然に防止する環境を整備することができます。
IT全般統制の導入プロセス
ここでは、IT全般統制の導入プロセスについて、IT全般統制の導入前と導入後に分けて解説します。
1.IT全般統制の導入前:合意形成や体制作り、フォーマット整備を行う
IT全般統制の導入準備として、IT全般統制の必要性やメリットについて役員層をはじめとする社内の関係者に説明し、合意形成を図る必要があります。また、IT全般統制の導入を進めるにあたって、導入プロジェクトを発足してプロジェクト計画やプロジェクト体制を整備します。
IT全般統制の実装面では、実際に運用する管理フォーマットなどの作成や運用ルールの取り決めを行っていきます。管理フォーマットの作成においては、監査対応での活用も意識して、証跡の内容や保存日時、承認者などの項目を設けて記録を取っていくことが重要です。
2.IT全般統制の導入後:日々の運用に落とし込み、継続的な管理と改善を行う
IT全般統制の導入後は、通常の業務運用に落とし込み、計画通りに統制を行えているかの確認を行っていきます。実際に運用することで、運用負荷が高いなどの改善点が見えてくることもあるため、運用しながら適宜見直しを図っていきましょう。
監査対応の直前に慌てないよう、日頃からアカウントの棚卸し結果やアクセスログなどの証跡を最新状態に保ち、関係者間で共有できるフォルダなどで管理しておくことが重要です。
まとめ
IT全般統制は内部統制の一部であり、ITシステムを効果的に運用管理していくための統制活動を指します。主に業務効率化や企業の信頼性向上の実現を目的としており、セキュリティインシデントやコンプライアンス違反を防止する上で重要な役割を果たします。
IT全般統制の導入にあたっては、社内の合意形成や体制整備、管理フォーマット類の準備を行う必要があります。導入後も定期的に点検・見直しをしつつ、監査対応に向けて証跡を常に最新化しておくことも重要となるでしょう。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
IPOの申込み管理におすすめのサービス3選|当選確率を上げる方法も紹介
IPO投資では、当選確率を向上させるために、複数の証券会社から応募を行う必要があります。しかし数十社の証券会社で申込みや購入の抽選を行っていると「どこの証券会社に応募したか」「当選発表日がいつだったか」を忘れてしまうこともあるでしょう。 本…
詳しくみるIPO準備企業に求められる財務会計とは?財務・経理部門の役割について解説
上場企業が作成する決算書は、非上場企業のそれとは異なり、一般の投資家などに公開されます。そのため、投資家の視点を考慮した内容にする必要があることから、財務会計に基づいて作成されるケースが多数です。 一方、非上場企業の決算書は税務当局を意識し…
詳しくみる内部統制を実施する際のチェックリストを一挙紹介|成功させるポイントも
コンプライアンスなど、会社を見る世間の目は以前にも増して厳しくなってきています。そのためにも内部統制を整えることが必要です。内部統制を実施するには4つの目的と6つの基本的要素があり、それらが達成できているかを確認していく必要があります。 本…
詳しくみる株式上場(IPO)にかかる費用を段階別に解説
株式上場(IPO)を目指す際、まず気になるのは「どれくらいの費用がかかるか」という点ではないでしょうか。上場審査には当然費用がかかります。また、上場後も新株の発行などで継続的に費用が発生します。そしてもちろん、準備段階でもさまざまな費用が必…
詳しくみる上場企業における関連会社とは?上場審査の項目や整理する時期・方法を説明
自社の上場を予定している場合、関連会社の取り扱いに困ることがあるかもしれません。状況によっては、関連会社が上場審査に悪い影響を与える可能性があるためです。 この記事では、関連会社の定義や子会社との違い、関連会社がある場合の上場審査項目、関連…
詳しくみるIPOにおける反社チェックの重要性、対応項目、手法を解説
IPOを実現するには、反社チェックの実施が不可欠です。反社チェックにより、上場審査に通るだけでなく、社会的な信用を獲得することにもつながります。 本記事では、IPOにおける反社チェックの重要性や手法、対象者などを解説します。また、IPOの際…
詳しくみる