- 更新日 : 2024年11月28日
IT全般統制とは?主な領域やメリット、導入プロセスを解説
IT全般統制とは、業務に利用するITシステムを正しく運用管理するための統制活動を指します。個人情報や機密情報の漏えいを防止し企業の信頼を維持していくために、IT全般統制によってITシステムの運用管理ミスや不正を防ぐことが重要です。
本記事では、IT全般統制の概要や主な領域、メリット、導入プロセスについて解説します。
目次
IT全般統制とは
はじめに、IT全般統制の概要や重要性について解説します。
IT全般統制の概要
IT全般統制は、金融庁によって以下のように定義されています。
「ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。」
出典:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
簡単にいうと、業務に利用するITシステムを適切に運用管理するための統制活動のことです。英語では「Information Technology General Control」と呼ばれ、「ITGC」と略されます。
IT全般統制は内部統制の一部であり、ITシステムを効果的に運用管理することで、業務効率化や企業の信頼性向上を実現することを目的としています。
企業のITシステムにおけるガバナンス強化の重要性
社内の業務効率化やコスト削減を図る上で、今やITシステムの活用は不可欠になっています。しかし、いかに優れた機能を持つITシステムを構築したとしても、正しく運用管理されていなければ十分な経営効果を発揮することは難しいでしょう。
さらには不適切な運用管理によって機密情報の流出などのインシデントが生じる可能性もあるため、IT全般統制によってITシステムの運用管理ミスや不正を防ぐことが重要です。
IT全般統制の主な領域
IT全般統制には、主に以下の4つの領域があります。
- システムの開発、保守に係る管理
- システムの運用・管理
- 社内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
システムの開発、保守に係る管理
まず、システムの開発および保守に関する運用管理の領域が挙げられます。例えば以下のような事項の管理がこの領域に当てはまります。
- 機能の追加・変更の際の申請・承認ルール
- プログラムのテストを実施する際のルール
- システムを移行する際の移行計画の作成フォーマットや移行結果の報
- 告様式、承認プロセスなど
システムの運用・管理
導入後のシステムの運用・管理に関わる領域です。この領域の管理対象として、以下のような事項が挙げられます。
- システム障害が発生した際のエスカレーションルール
- データのバックアップ頻度や保存場所、保存期間
- ソフトウェアの利用状況の一覧化
- ハードウェアの調達から廃棄までの手順
- IPアドレスなどのネットワーク構成
社内外からのアクセス管理などシステムの安全性の確保
社内のITシステムに対する社内外からのアクセスについて管理する領域です。例えば以下のような事項がこの領域に含まれます。
- ユーザーアカウントの発行や変更、削除の際のルール
- ユーザーアカウントの棚卸しの方法や頻度
- 部署や役職に応じたアクセス権限の設定ルール
- 部署異動や役職変更に応じた定期的なアクセス権限の棚卸し
- データ改変やプログラム修正が可能な特権IDの付与ルール
- データセンターへの入退室管理など
近年ではサイバー攻撃による不正アクセスなどの事例が多く、情報漏えいなどの被害を被るリスクがあるため、企業の信頼性や利益を守るために、アクセス管理は重要な役割を持っています。
外部委託に関する契約の管理
システム開発や運用保守を外部ベンダーに委託する際の契約を管理する領域です。例えば以下のような事項が挙げられます。
- 機密情報、個人情報の保管や取り扱いルール
- 業務を実施する場所やサーバー環境、人員体制
- 業務委託の範囲や成果物、納期などの取り決め
- 業務委託先に対する監査の実施方法や確認内容、実施頻度
クラウドシステムを利用する場合は、データの保管や運用も外部に委託することになるため、クラウドシステムの稼働実績や内部統制の実施報告書などを確認することも重要です。
IT全般統制の導入メリット
IT全般統制には、次のようなメリットがあります。
メリット1.業務効率化
IT全般統制を導入することで、担当者ごとに異なるシステムの利用方法を統一できるようになります。データの入力方法や形式、保管場所なども一元化されることで情報共有のスピードも向上し、業務効率化につながるでしょう。
メリット2.セキュリティリスクの軽減
IT全般統制によってデータの保管ルールや情報を持ち出す際の申請・承認プロセスなどを制定することで、情報漏えいなどのセキュリティリスクを軽減できます。システムに対する社内外からのアクセス管理を徹底することにより、外部からのサイバー攻撃や内部不正のリスクを軽減することも可能です。
メリット3.内部統制の強化
部署や立場に応じたユーザーアカウントやアクセス権限を管理することで、社内情報へのアクセスを最小限に留めることができ、内部統制の強化につながります。また、予算の制約で高度なセキュリティソフトなどの購入が難しい中小企業においても、IT全般統制によって社内の管理意識を高めることで、不正を未然に防止する環境を整備することができます。
IT全般統制の導入プロセス
ここでは、IT全般統制の導入プロセスについて、IT全般統制の導入前と導入後に分けて解説します。
1.IT全般統制の導入前:合意形成や体制作り、フォーマット整備を行う
IT全般統制の導入準備として、IT全般統制の必要性やメリットについて役員層をはじめとする社内の関係者に説明し、合意形成を図る必要があります。また、IT全般統制の導入を進めるにあたって、導入プロジェクトを発足してプロジェクト計画やプロジェクト体制を整備します。
IT全般統制の実装面では、実際に運用する管理フォーマットなどの作成や運用ルールの取り決めを行っていきます。管理フォーマットの作成においては、監査対応での活用も意識して、証跡の内容や保存日時、承認者などの項目を設けて記録を取っていくことが重要です。
2.IT全般統制の導入後:日々の運用に落とし込み、継続的な管理と改善を行う
IT全般統制の導入後は、通常の業務運用に落とし込み、計画通りに統制を行えているかの確認を行っていきます。実際に運用することで、運用負荷が高いなどの改善点が見えてくることもあるため、運用しながら適宜見直しを図っていきましょう。
監査対応の直前に慌てないよう、日頃からアカウントの棚卸し結果やアクセスログなどの証跡を最新状態に保ち、関係者間で共有できるフォルダなどで管理しておくことが重要です。
まとめ
IT全般統制は内部統制の一部であり、ITシステムを効果的に運用管理していくための統制活動を指します。主に業務効率化や企業の信頼性向上の実現を目的としており、セキュリティインシデントやコンプライアンス違反を防止する上で重要な役割を果たします。
IT全般統制の導入にあたっては、社内の合意形成や体制整備、管理フォーマット類の準備を行う必要があります。導入後も定期的に点検・見直しをしつつ、監査対応に向けて証跡を常に最新化しておくことも重要となるでしょう。
この記事をお読みの方におすすめのガイド4選
最後に、この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。
やることリスト付き!内部統制構築ガイド
内部統制を基礎から知りたい方・内部統制の導入を検討している担当の方・形式だけになっている内部統制を見直したい方におすすめの人気ガイドです。
内部統制の基本と内部統制構築のポイントをギュッとまとめています。
J-SOX 3点セット攻略ガイド
すべての上場企業が対象となるJ-SOX(内部統制報告制度)。
本資料では、IPO準備などでこれからはじめてJ-SOXに対応する企業向けにJ-SOXの基本からその対応方法までをまとめた、役立つガイドです。
経理担当者向け!Chat GPTの活用アイデア・プロンプトまとめ12選
経理担当者がChat GPTをどのように活用できるか、主なアイデアを12選まとめた人気のガイドです。
プロンプトと出力内容も掲載しており、コピペで簡単に試すことも可能です。
マネーフォワード クラウド会計Plus サービス資料
マネーフォワード クラウド会計Plusは、IPO準備・中堅〜上場企業向けの業務効率化と内部統制強化を実現するクラウド会計ソフトです。
銀行やクレジットカード連携で取引データを自動取得、AIによる自動仕訳で会計業務を効率化。周辺システムと連携することで、二重入力や確認工数を削減します。また、仕訳承認機能やユーザーごとの権限・ログ管理機能を搭載しており、内部統制にも対応。SOC報告書も提供しています。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
IPO準備企業に求められる財務会計とは?財務・経理部門の役割について解説
上場企業が作成する決算書は、非上場企業のそれとは異なり、一般の投資家などに公開されます。そのため、投資家の視点を考慮した内容にする必要があることから、財務会計に基づいて作成されるケースが多数です。 一方、非上場企業の決算書は税務当局を意識し…
詳しくみる内部統制システムを整備するメリットは?内容やポイントを説明
内部統制システムの整備は一部の企業で義務化されています。義務の対象になっていない企業も整備が可能で、いくつかのメリットを享受できるでしょう。ただし、内部統制システム整備にはいくつかの注意点があり、整備前から時間を掛けて取り組まなければならな…
詳しくみるISMSの不適合とは?処置と是正処置の違い、事例、対応プロセスを徹底解説
ISMS(情報セキュリティマネジメントシステム)の認証取得や維持を目指す中で、「不適合」という言葉は避けて通れません。不適合は組織のセキュリティ体制に潜む弱点を可視化し、改善へと導くための重要なシグナルです。これを単なる問題点ではなく、情報…
詳しくみるガバナンスに欠かせない監査役会設置会社とは?範囲や目的など全体像を解説
企業が成長し規模も大きくなるにつれて、その社会的責任や株主への責任も強く求められるようになります。このような企業には、適切な運営を行うためのガバナンスが必要とされ、その中には会社法にて明記されている要求事項も少なくありません。 本記事では、…
詳しくみるIPOコンサルティングとは?種類やメリット、注意点を解説
IPOコンサルティングを依頼すると、内部管理体制の構築や書類作成などのサポートを得られます。それにより、コスト削減やスムーズな上場の実現を期待できます。 本記事では、IPOコンサルティングの種類やメリット、依頼時の注意点を解説します。 IP…
詳しくみる【テンプレ付】J-SOX法(内部統制報告制度)とは?特徴や会社法との違い、必要な書類などわかりやすく解説
上場企業は、金融商品取引法に基づく内部統制報告制度への対応が必要となります。この内部統制報告制度が、いわゆるJ-SOXです。2002年7月にエネルギー大手企業のエンロンや通信大手企業のワールドコムの粉飾決算を受けてサーベンス・オクスリー法(…
詳しくみる