• 更新日 : 2024年11月28日

IT全般統制とは?主な領域やメリット、導入プロセスを解説

IT全般統制とは、業務に利用するITシステムを正しく運用管理するための統制活動を指します。個人情報や機密情報の漏えいを防止し企業の信頼を維持していくために、IT全般統制によってITシステムの運用管理ミスや不正を防ぐことが重要です。
本記事では、IT全般統制の概要や主な領域、メリット、導入プロセスについて解説します。

IT全般統制とは

はじめに、IT全般統制の概要や重要性について解説します。

IT全般統制の概要

IT全般統制は、金融庁によって以下のように定義されています。

「ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。」

出典:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)

簡単にいうと、業務に利用するITシステムを適切に運用管理するための統制活動のことです。英語では「Information Technology General Control」と呼ばれ、「ITGC」と略されます。

IT全般統制は内部統制の一部であり、ITシステムを効果的に運用管理することで、業務効率化や企業の信頼性向上を実現することを目的としています。

企業のITシステムにおけるガバナンス強化の重要性

社内の業務効率化やコスト削減を図る上で、今やITシステムの活用は不可欠になっています。しかし、いかに優れた機能を持つITシステムを構築したとしても、正しく運用管理されていなければ十分な経営効果を発揮することは難しいでしょう。

さらには不適切な運用管理によって機密情報の流出などのインシデントが生じる可能性もあるため、IT全般統制によってITシステムの運用管理ミスや不正を防ぐことが重要です。

IT全般統制の主な領域

IT全般統制には、主に以下の4つの領域があります。

  • システムの開発、保守に係る管理
  • システムの運用・管理
  • 社内外からのアクセス管理などシステムの安全性の確保
  • 外部委託に関する契約の管理

システムの開発、保守に係る管理

まず、システムの開発および保守に関する運用管理の領域が挙げられます。例えば以下のような事項の管理がこの領域に当てはまります。

  • 機能の追加・変更の際の申請・承認ルール
  • プログラムのテストを実施する際のルール
  • システムを移行する際の移行計画の作成フォーマットや移行結果の報
  • 告様式、承認プロセスなど

システムの運用・管理

導入後のシステムの運用・管理に関わる領域です。この領域の管理対象として、以下のような事項が挙げられます。

  • システム障害が発生した際のエスカレーションルール
  • データのバックアップ頻度や保存場所、保存期間
  • ソフトウェアの利用状況の一覧化
  • ハードウェアの調達から廃棄までの手順
  • IPアドレスなどのネットワーク構成

社内外からのアクセス管理などシステムの安全性の確保

社内のITシステムに対する社内外からのアクセスについて管理する領域です。例えば以下のような事項がこの領域に含まれます。

  • ユーザーアカウントの発行や変更、削除の際のルール
  • ユーザーアカウントの棚卸しの方法や頻度
  • 部署や役職に応じたアクセス権限の設定ルール
  • 部署異動や役職変更に応じた定期的なアクセス権限の棚卸し
  • データ改変やプログラム修正が可能な特権IDの付与ルール
  • データセンターへの入退室管理など

近年ではサイバー攻撃による不正アクセスなどの事例が多く、情報漏えいなどの被害を被るリスクがあるため、企業の信頼性や利益を守るために、アクセス管理は重要な役割を持っています。

外部委託に関する契約の管理

システム開発や運用保守を外部ベンダーに委託する際の契約を管理する領域です。例えば以下のような事項が挙げられます。

  • 機密情報、個人情報の保管や取り扱いルール
  • 業務を実施する場所やサーバー環境、人員体制
  • 業務委託の範囲や成果物、納期などの取り決め
  • 業務委託先に対する監査の実施方法や確認内容、実施頻度

クラウドシステムを利用する場合は、データの保管や運用も外部に委託することになるため、クラウドシステムの稼働実績や内部統制の実施報告書などを確認することも重要です。

IT全般統制の導入メリット

IT全般統制には、次のようなメリットがあります。

メリット1.業務効率化

IT全般統制を導入することで、担当者ごとに異なるシステムの利用方法を統一できるようになります。データの入力方法や形式、保管場所なども一元化されることで情報共有のスピードも向上し、業務効率化につながるでしょう。

メリット2.セキュリティリスクの軽減

IT全般統制によってデータの保管ルールや情報を持ち出す際の申請・承認プロセスなどを制定することで、情報漏えいなどのセキュリティリスクを軽減できます。システムに対する社内外からのアクセス管理を徹底することにより、外部からのサイバー攻撃や内部不正のリスクを軽減することも可能です。

メリット3.内部統制の強化

部署や立場に応じたユーザーアカウントやアクセス権限を管理することで、社内情報へのアクセスを最小限に留めることができ、内部統制の強化につながります。また、予算の制約で高度なセキュリティソフトなどの購入が難しい中小企業においても、IT全般統制によって社内の管理意識を高めることで、不正を未然に防止する環境を整備することができます。

IT全般統制の導入プロセス

ここでは、IT全般統制の導入プロセスについて、IT全般統制の導入前と導入後に分けて解説します。

1.IT全般統制の導入前:合意形成や体制作り、フォーマット整備を行う

IT全般統制の導入準備として、IT全般統制の必要性やメリットについて役員層をはじめとする社内の関係者に説明し、合意形成を図る必要があります。また、IT全般統制の導入を進めるにあたって、導入プロジェクトを発足してプロジェクト計画やプロジェクト体制を整備します。

IT全般統制の実装面では、実際に運用する管理フォーマットなどの作成や運用ルールの取り決めを行っていきます。管理フォーマットの作成においては、監査対応での活用も意識して、証跡の内容や保存日時、承認者などの項目を設けて記録を取っていくことが重要です。

2.IT全般統制の導入後:日々の運用に落とし込み、継続的な管理と改善を行う

IT全般統制の導入後は、通常の業務運用に落とし込み、計画通りに統制を行えているかの確認を行っていきます。実際に運用することで、運用負荷が高いなどの改善点が見えてくることもあるため、運用しながら適宜見直しを図っていきましょう。

監査対応の直前に慌てないよう、日頃からアカウントの棚卸し結果やアクセスログなどの証跡を最新状態に保ち、関係者間で共有できるフォルダなどで管理しておくことが重要です。

まとめ

IT全般統制は内部統制の一部であり、ITシステムを効果的に運用管理していくための統制活動を指します。主に業務効率化や企業の信頼性向上の実現を目的としており、セキュリティインシデントやコンプライアンス違反を防止する上で重要な役割を果たします。

IT全般統制の導入にあたっては、社内の合意形成や体制整備、管理フォーマット類の準備を行う必要があります。導入後も定期的に点検・見直しをしつつ、監査対応に向けて証跡を常に最新化しておくことも重要となるでしょう。


※ 掲載している情報は記事更新時点のものです。

※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。

関連記事