- 更新日 : 2024年11月28日
IT全般統制とは?主な領域やメリット、導入プロセスを解説
IT全般統制とは、業務に利用するITシステムを正しく運用管理するための統制活動を指します。個人情報や機密情報の漏えいを防止し企業の信頼を維持していくために、IT全般統制によってITシステムの運用管理ミスや不正を防ぐことが重要です。
本記事では、IT全般統制の概要や主な領域、メリット、導入プロセスについて解説します。
目次
IT全般統制とは
はじめに、IT全般統制の概要や重要性について解説します。
IT全般統制の概要
IT全般統制は、金融庁によって以下のように定義されています。
「ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。」
出典:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
簡単にいうと、業務に利用するITシステムを適切に運用管理するための統制活動のことです。英語では「Information Technology General Control」と呼ばれ、「ITGC」と略されます。
IT全般統制は内部統制の一部であり、ITシステムを効果的に運用管理することで、業務効率化や企業の信頼性向上を実現することを目的としています。
企業のITシステムにおけるガバナンス強化の重要性
社内の業務効率化やコスト削減を図る上で、今やITシステムの活用は不可欠になっています。しかし、いかに優れた機能を持つITシステムを構築したとしても、正しく運用管理されていなければ十分な経営効果を発揮することは難しいでしょう。
さらには不適切な運用管理によって機密情報の流出などのインシデントが生じる可能性もあるため、IT全般統制によってITシステムの運用管理ミスや不正を防ぐことが重要です。
IT全般統制の主な領域
IT全般統制には、主に以下の4つの領域があります。
- システムの開発、保守に係る管理
- システムの運用・管理
- 社内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
システムの開発、保守に係る管理
まず、システムの開発および保守に関する運用管理の領域が挙げられます。例えば以下のような事項の管理がこの領域に当てはまります。
- 機能の追加・変更の際の申請・承認ルール
- プログラムのテストを実施する際のルール
- システムを移行する際の移行計画の作成フォーマットや移行結果の報
- 告様式、承認プロセスなど
システムの運用・管理
導入後のシステムの運用・管理に関わる領域です。この領域の管理対象として、以下のような事項が挙げられます。
- システム障害が発生した際のエスカレーションルール
- データのバックアップ頻度や保存場所、保存期間
- ソフトウェアの利用状況の一覧化
- ハードウェアの調達から廃棄までの手順
- IPアドレスなどのネットワーク構成
社内外からのアクセス管理などシステムの安全性の確保
社内のITシステムに対する社内外からのアクセスについて管理する領域です。例えば以下のような事項がこの領域に含まれます。
- ユーザーアカウントの発行や変更、削除の際のルール
- ユーザーアカウントの棚卸しの方法や頻度
- 部署や役職に応じたアクセス権限の設定ルール
- 部署異動や役職変更に応じた定期的なアクセス権限の棚卸し
- データ改変やプログラム修正が可能な特権IDの付与ルール
- データセンターへの入退室管理など
近年ではサイバー攻撃による不正アクセスなどの事例が多く、情報漏えいなどの被害を被るリスクがあるため、企業の信頼性や利益を守るために、アクセス管理は重要な役割を持っています。
外部委託に関する契約の管理
システム開発や運用保守を外部ベンダーに委託する際の契約を管理する領域です。例えば以下のような事項が挙げられます。
- 機密情報、個人情報の保管や取り扱いルール
- 業務を実施する場所やサーバー環境、人員体制
- 業務委託の範囲や成果物、納期などの取り決め
- 業務委託先に対する監査の実施方法や確認内容、実施頻度
クラウドシステムを利用する場合は、データの保管や運用も外部に委託することになるため、クラウドシステムの稼働実績や内部統制の実施報告書などを確認することも重要です。
IT全般統制の導入メリット
IT全般統制には、次のようなメリットがあります。
メリット1.業務効率化
IT全般統制を導入することで、担当者ごとに異なるシステムの利用方法を統一できるようになります。データの入力方法や形式、保管場所なども一元化されることで情報共有のスピードも向上し、業務効率化につながるでしょう。
メリット2.セキュリティリスクの軽減
IT全般統制によってデータの保管ルールや情報を持ち出す際の申請・承認プロセスなどを制定することで、情報漏えいなどのセキュリティリスクを軽減できます。システムに対する社内外からのアクセス管理を徹底することにより、外部からのサイバー攻撃や内部不正のリスクを軽減することも可能です。
メリット3.内部統制の強化
部署や立場に応じたユーザーアカウントやアクセス権限を管理することで、社内情報へのアクセスを最小限に留めることができ、内部統制の強化につながります。また、予算の制約で高度なセキュリティソフトなどの購入が難しい中小企業においても、IT全般統制によって社内の管理意識を高めることで、不正を未然に防止する環境を整備することができます。
IT全般統制の導入プロセス
ここでは、IT全般統制の導入プロセスについて、IT全般統制の導入前と導入後に分けて解説します。
1.IT全般統制の導入前:合意形成や体制作り、フォーマット整備を行う
IT全般統制の導入準備として、IT全般統制の必要性やメリットについて役員層をはじめとする社内の関係者に説明し、合意形成を図る必要があります。また、IT全般統制の導入を進めるにあたって、導入プロジェクトを発足してプロジェクト計画やプロジェクト体制を整備します。
IT全般統制の実装面では、実際に運用する管理フォーマットなどの作成や運用ルールの取り決めを行っていきます。管理フォーマットの作成においては、監査対応での活用も意識して、証跡の内容や保存日時、承認者などの項目を設けて記録を取っていくことが重要です。
2.IT全般統制の導入後:日々の運用に落とし込み、継続的な管理と改善を行う
IT全般統制の導入後は、通常の業務運用に落とし込み、計画通りに統制を行えているかの確認を行っていきます。実際に運用することで、運用負荷が高いなどの改善点が見えてくることもあるため、運用しながら適宜見直しを図っていきましょう。
監査対応の直前に慌てないよう、日頃からアカウントの棚卸し結果やアクセスログなどの証跡を最新状態に保ち、関係者間で共有できるフォルダなどで管理しておくことが重要です。
まとめ
IT全般統制は内部統制の一部であり、ITシステムを効果的に運用管理していくための統制活動を指します。主に業務効率化や企業の信頼性向上の実現を目的としており、セキュリティインシデントやコンプライアンス違反を防止する上で重要な役割を果たします。
IT全般統制の導入にあたっては、社内の合意形成や体制整備、管理フォーマット類の準備を行う必要があります。導入後も定期的に点検・見直しをしつつ、監査対応に向けて証跡を常に最新化しておくことも重要となるでしょう。
この記事をお読みの方におすすめのガイド4選
最後に、この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。
やることリスト付き!内部統制構築ガイド
内部統制を基礎から知りたい方・内部統制の導入を検討している担当の方・形式だけになっている内部統制を見直したい方におすすめの人気ガイドです。
内部統制の基本と内部統制構築のポイントをギュッとまとめています。
J-SOX 3点セット攻略ガイド
すべての上場企業が対象となるJ-SOX(内部統制報告制度)。
本資料では、IPO準備などでこれからはじめてJ-SOXに対応する企業向けにJ-SOXの基本からその対応方法までをまとめた、役立つガイドです。
経理担当者向け!Chat GPTの活用アイデア・プロンプトまとめ12選
経理担当者がChat GPTをどのように活用できるか、主なアイデアを12選まとめた人気のガイドです。
プロンプトと出力内容も掲載しており、コピペで簡単に試すことも可能です。
マネーフォワード クラウド会計Plus サービス資料
マネーフォワード クラウド会計Plusは、IPO準備・中堅〜上場企業向けの業務効率化と内部統制強化を実現するクラウド会計ソフトです。
銀行やクレジットカード連携で取引データを自動取得、AIによる自動仕訳で会計業務を効率化。周辺システムと連携することで、二重入力や確認工数を削減します。また、仕訳承認機能やユーザーごとの権限・ログ管理機能を搭載しており、内部統制にも対応。SOC報告書も提供しています。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
関連当事者取引とは?開示基準や開示項目、取引した場合の対処法について解説
「関連当事者取引」とは、企業がその経営陣、主要株主、親会社、子会社、関連会社などの関連当事者と行う取引を指します。これらの取引は、通常の市場条件と異なる条件で行われることがあり、そのため特に注目され、適切なディスクロージャー(情報開示)が要…
詳しくみるISMSとは?認証を取得するメリットや流れ、費用までわかりやすく解説
近年、企業や組織における情報セキュリティの重要性はますます高まっています。サイバー攻撃の巧妙化、内部不正による情報漏洩など、情報資産に対する脅威は後を絶ちません。 このような状況下で注目されているのが「ISMS」です。この記事では、ISMS…
詳しくみる海外子会社における内部統制の必要性|導入手順や内部通報制度も紹介
企業のグローバル化に伴い、子会社が海外にあることも珍しくなくなりました。内部統制においては海外子会社も対象となることがあるものの、言語や習慣の違いから親会社と同じ内部統制を構築・評価できるわけではありません。 本記事では海外子会社における内…
詳しくみる上場会社等監査人登録制度とは?導入された背景や名簿の確認方法も説明
上場会社等監査人登録制度とは、上場会社の財務書類の監査を行う監査法人や公認会計士が登録を受け、その品質と信頼性を確保するための制度です。登録を受けるためには、組織体制や品質管理体制などの整備が求められます。 そこで本記事では、上場会社等監査…
詳しくみる内部統制システムとは?どんな会社に運用が義務付けられているのか、事例も交えて解説
内部統制を整備することで、企業の経済的損失や信頼の失墜を未然に防ぐことができます。この内部統制を正常に運用するための仕組みが「内部統制システム」です。企業価値を向上させるには欠かせないシステムでもあります。 本記事では、内部統制システムの概…
詳しくみる内部監査の目的をわかりやすく解説|設置義務のある会社や不正事例も紹介【テンプレート付き】
内部監査は上場企業に設置義務があり、経営目標の達成やリスクマネジメントを目的に行われます。その際、企業ごとに計画を実施するため、専門的な知識が必要です。 本記事では内部監査の目的を説明したうえで、内部監査の設置義務のある会社や不正事例などを…
詳しくみる