- 更新日 : 2025年3月19日
情報統制とは?内部統制の強化にITへの対応が必要な理由を解説
内部統制を実施するにあたり、ITへの対応を早急に進める企業も多いのではないでしょうか。しかし、IT業務に関しては、経理担当者や経営者本人ではなくITシステムの管理ができる技術を持った人が担当するはずです。
この記事では、内部統制を進めている企業や上場を目指す企業・経営者向けにIT統制の重要性や具体的な工程を解説します。
目次
企業やビジネスにおける情報統制とは
「情報統制」の辞書的な意味は、政府や権力機構が、公表する情報を意図的に操作することを指します。しかし、企業やビジネスにおいては異なる意味を持ちます。
今回は上場企業や上場を目指す企業が行う内部統制における情報管理やIT管理のことを指す情報統制について解説します。
情報統制とIT統制の違い
情報統制とIT統制の違いについて明確な定義はされていません。多くの文脈では、情報統制はIT分野に限定せず、全般的な企業の情報管理を指しています。
情報統制とIT統制はどちらも重要で、内部統制の6つの基本的要素である「情報と伝達」と「ITへの対応」に深く関係し、影響しあう相互的な作用があります。
情報統制とIT統制の比較は以下のようになります。
| 情報統制 | IT統制 | |
|---|---|---|
| 概要 | 組織内外の情報の管理・制御を指し、とくに情報の流通・公開・制限に関するルールや方針などを含む | 「ITシステムやデータの適切な管理・運用」を指し、特に ITインフラのリスク管理やセキュリティ確保 に重点を置く |
| おもな目的 |
|
|
| 対象範囲 |
など |
|
| 具体例 |
など |
など |
続いて、IT統制について詳しく解説します。
内部統制とIT統制の違い
内部統制の6つの基本的要素のうちの「ITへの対応」について統制されるのがIT統制の詳細です。IT業務に対して重要な役割を担います。
内部統制の役割
内部統制の役割は金融庁が定めた「財務報告に係る内部統制の評価及び監査の基準」から確認できます。
内部統制は、企業が事業活動を健全かつ効率的に運営するための仕組みで、4つの目的を達成するために6つの基本的要素にそれぞれ対応することを意味します。
以下が内部統制の4つの目的です。
- 業務の有効性及び効率性
- 報告の信頼性
- 事業活動に関わる法令等の遵守
- 資産の保全
また、以下が6つの基本的要素となります。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング(監視活動)
- IT(情報技術)への対応
IT統制は、6つの基本的要素の「6. IT(情報技術)への対応」において重要な役割を果たします。
以下の記事では、「財務報告に係る内部統制の評価及び監査の基準」に関して解説していますので、ぜひ参考にしてください。
IT統制の役割
IT統制の役割は、IT業務全般に関してリスクを管理し、考えうるITリスクを適切にコントロールする仕組みを構築し運用することです。
ITへの対応とは、事業活動において業務がITを活用しているまたはITに依存している場合に、IT環境に対応することです。
IT統制は、業務で扱われるITに対して組織目標を達成させるために方針や手続きを決定し、内部統制のほか、6つの基本的要素をより有効に機能させることです。また、ITを有効的・効率的に活用することでもあります。
多くの企業で不可欠となった「ITへの対応」
金融庁が内部統制の定義を定めた当初と比較しても、現代の事業活動においては業務のIT化が加速し、IT業務はなくてはならないほど重要です。
IT業務ではセキュリティ対策やシステムの運用に関して十分なリスク管理や情報共有などを整備しておく必要があります。
ITへの対応のためにIT統制を厳密に行い、内部統制の4つの目的を果たします。
「ITへの対応」とはIT環境を整え、ITの利用および統制を行うこと
ITへの対応は「IT環境への対応」と「ITの利用および統制」の2つの要素から構成されます。
「IT環境への対応」とは、社内のIT業務の浸透度や利用状況、企業が利用している情報システムのほか、外部委託の内容・状況など、社内外関係なく一連のITを取り巻く環境を整えることです。
「ITの利用および統制」とは、内部統制を有効に機能させるため、統制環境やリスク評価・対応、統制活動、情報と伝達、モニタリングの有効性を確保することです。
IT統制の3つの種類
IT統制は、3つの種類から構成されます。
IT環境への対応およびITの利用を行うための仕組みとして「IT全社的統制」があります。さらにITの統制を行うための仕組みとしてIT全般統制(ITGC)とIT業務処理統制(ITAC)のふたつに分けて運用されることで適切な統制環境を整備できます。
以下では、それぞれの種類について解説していきます。
①IT全社的統制
IT全社的統制とは、企業全体つまり経営レベルでのコントロールのことを指します。
内部統制における基本的要素から「ITへの対応」を除いた5つ(統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング)に対して、有効性を確保するための取り組みがIT全社的統制です。
ITを有効かつ効率的に利用するためには全社的な取り組みとして対応しなくてはいけません。統制における確認事項は、例えば以下のものが挙げられます。
- 経営者はITに関する適切な戦略・計画等を定めているか。
- 経営者は内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
- 経営者は信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
- ITを用いて統制活動を整備する際にITを利用することにより生じる新たなリスクが考慮されているか。
- 経営者はITに係る全般統制及びITに係る業務処理統制についての方針および手続きを適切に定めているか。
経営者自身がITへの対応の重要性および具体的な指標を理解したうえで、十分な対応が求められます。
②IT全般統制(ITGC)
IT全般統制(ITGC)とは、ITシステムの環境を保証するためのコントロールのことを指します。業務プロセスにおける不正や誤謬を防ぐための仕組み(業務処理統制)が、有効に機能する環境を保証するための取り組みがIT全般統制(ITGC)です。
具体的には以下のような内容を管理することになります。
- システムの開発、保守に係る管理(各工程でのレビュー・承認、必要な文書作成等)
- システムの運用・管理(プログラム変更時の手続きや運用ルール等)
- 内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
ITGCは「IT General Controls」の略で、IT環境の整備全般を担当するのがIT全般統制といえます。
③IT業務処理統制(ITAC)
IT業務処理統制(ITAC)とは、ITシステムを用いた業務を正確に行うためのコントロールのことを指します。業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するための取り組みがIT業務処理統制(ITAC)とされます。
具体的には以下のような内容を管理することになります。
- 入力情報の完全性、正確性、正当性等を確保する統制(承認機能の設定有無等)
- 例外処理(エラー)の修正と再処理
- マスタ・データの維持管理
- システムの利用に関する認証、操作範囲の限定などアクセスの管理
ITACは「IT Application Controls」の略で、ITを利用したシステム全般を担当するのがIT業務処理統制といえます。
IT統制の仕組み構築のコツ
IT統制において仕組みの構築はIT業務に依存する企業にとっては重要な課題です。
ITシステムを用いた業務を適切に行うための仕組みを構築したうえで、正しく会計処理を行い、正確な数字が反映された財務諸表を作成することで財務報告の信頼性を保つためです。
IT統制における仕組みは5つのステップで構築しましょう。
①入力管理(入力統制)
入力管理とは、システムを使って業務を行う際に、入力するデータに重複がなく、正しいデータのみが入力される仕組みを管理することです。
データ入力時のルールやマニュアルを整備することや、システムの機能を用いて申請・承認を行うことなどで入力データの妥当性・正確性を確認します。
②データ管理(処理統制)
データ管理とは、EDI等によるデータの授受や複製、管理等の一連の作業を適切に管理し、データの正確性を担保する仕組みを作ることです。
昨今では受注データや購買データ等を社外のシステムから受信することが少なくありません。受信した際に、送信元が正しい得意先であると確認できる仕組みがないと、受注や購買のデータが正当であることを担保できないからです。
③出力管理(出力統制)
出力管理とは、システムから出力するデータの作成・授受・管理など一連の作業を適切に管理し、データの正確性を担保する仕組みのことです。
製品を出荷した後にシステムから出力する出荷データに誤りがあると、その後の売上計上処理に影響が出てしまい、誤った売上が計上されてしまいます。
④スプレッドシートなど
会計システム等の業務システムを利用しながら、システム外でスプレッドシートを活用して業務効率化を図っている企業は多くあります。しかし、スプレッドシートは業務システムほど綿密に作り込まれた仕組みではないためリスクが高く、統制上でも注意が必要になります。
スプレッドシートでの管理リスクよりも、システムの導入・運用によって効率的にかつ正確で低リスクに運用することが可能です。
⑤IT業務処理のリスクコントロールマトリックス
IT業務処理のリスクコントロールマトリックス(RCM)は、情報システムやITを活用した業務プロセス上に潜むリスクを整理・把握できる表形式のツールです。
業務プロセスに潜むリスクを防止・低減・早期発見するための統制を体系的に管理してくれる点が特徴です。
IT業務処理統制に対応するには
IT業務処理統制に対応するときに2つのポイントを押さえておきましょう。
処理体制
IT業務処理は自動化と手作業に分かれます。手作業で行う業務量を減らせれば業務負荷・リスクを限りなく減らすことができます。そのためにもシステムの活用で自動化・効率化を図りましょう。
2つの評価で改善を目指す
IT業務処理はサンプリングによる評価とウォークスルーによる評価に分けて考えることができます。評価を二分することでより良い改善を目指せます。
サンプリングによる評価
一定期間におけるデータを複数件サンプリングし、統制の実施状況を確認する評価方法です。すべてのデータを検証することは現実的に困難であるため、無作為に抽出したデータが正しいものであることを検証することで評価を行います。
ウォークスルーによる評価
1つの取引を対象として、取引開始から処理を行い仕訳が計上されるまでの一連の流れを検証して評価する方法です。これは各業務プロセスにおける統制によって、リスクを低減する仕組みが整っているかどうかを確認する手法です。
情報統制の構築環境にはマネーフォワードのシステムを活用しよう
情報統制とIT統制の違いについて解説しました。本記事では「IT統制」について深く言及しましたが、情報統制もIT統制もどちらも内部統制の強化にはなくてはならない重要な役割を持ちます。
IT統制の強化には多くの手順とさまざまな管理が必要とされます。これでは業務増加により負担がかかってしまいます。そこでマネーフォワードの経理管理システムなら業務効率化が図れるだけでなく、正確で迅速な管理が可能になります。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
スタートアップ企業がIPOするメリット・デメリット|早めに取り組むべきポイントも紹介
IPOを目指すスタートアップにとって、上場基準に耐えうるバックオフィスの構築は乗り越えなければならない大きな壁と言えます。この大きな壁を乗り越えるために、IPOを意識したバックオフィス構築のポイントや、そのメリットについて解説していきます。…
詳しくみる東証プライム市場とは?スタンダード市場との違いや上場基準をわかりやすく解説
プライム市場に上場したいけれど、何から始めたらよいかわからない人もいるのではないでしょうか。プライム市場は、旧東証一部に相当する市場で、上場できれば会社の知名度・信頼性は大きく高まります。この記事を読めば、プライム市場とはどのような市場なの…
詳しくみる東証一部と二部の違いは?上場の条件やメリット・デメリットを比較
株式市場の東証一部と東証二部はどう違うのでしょうか?そして2022年4月4日以降は東証一部、東証二部はなくなり、プライム市場、スタンダード市場に移行されています。さらに新規上場基準や上場維持基準も変わっています。この記事では、市場再編はなぜ…
詳しくみるIPOにおける資本政策とは?目的や流れ・失敗事例について解説【テンプレート付き】
「IPOを検討しているが、具体的にどのようなことに気をつければよいかわからない」という経営者の方もいるのではないでしょうか。IPOで気をつけることのひとつに資本政策があります。資本政策は企業の将来に大きく影響するため、自社の財務状況や成長計…
詳しくみる上場企業とは?上場のメリットやプロセス、上場要件を解説
上場企業とは、証券取引所に株式を公開している企業で、誰でも自由にその株式を売買することができます。上場することによって資金調達力や信用力が向上する一方、コストの増加や敵対的買収リスクの増大などのデメリットもあります。本記事では、上場企業の定…
詳しくみるROIC経営とは?意味やWACC・ROE・ROAとの違い・計算式・メリットを解説
ROIC経営とは?意味やWACC・ROE・ROAとの違い・計算式・メリットを解説 企業を安定的に成長させていくためには、事業活動のために調達した資金を活用してどれだけ効率的に利益を産んでいるかが重要です。 そこで重要となるものが「ROIC」…
詳しくみる