- 更新日 : 2023年7月7日
内部統制のひとつであるIT統制とは?重要性や分類・担当部門を紹介
内部統制において、IT統制が抱く役割は小さいものではありません。IPOの際にもIT統制は重要視されているため、準備段階で監査を受ける必要があります。しかし、そもそもIT統制にはどのような役割があり、何を行うべきなのかわからないという人は多いでしょう。
本記事では、IT統制の役割や特徴、目的を解説していきます。実際のIT統制業務の準備に役立ててください。
内部統制とは
内部統制とは、下記の4項目を保証するために構築されるシステムのことです。
- 【内部統制により保証される4つの項目】
- 業務の有効性及び効率性
- 財務報告の信頼性
- 事業活動に関わる法令などの遵守
- 資産の保全
上に記載される4つの保証は一般的に、どの会社であっても健全な経営にあたって必要です。しかし従業員がそれぞれの方法で保証を獲得しようとしても、会社はうまく回りません。足並みを揃えるためには会社のルールを整備したり業務の方法をシステム化したりして、働いているのが誰であっても上記の4つが保証されるような仕組みを作る必要があります。これを内部統制と言います。
内部監査という言葉もありますが、これは同じ社内の人間同士でお互いに監査を行うことです。内部統制には監査行為も含まれるため、内部監査は内部統制の一部といえます。
内部統制のひとつであるIT統制とは
内部統制は金融庁によって、以下の6つの要素でできていると定義されています。
- 【内部統制を構成する6つの要素】
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング(監視活動)
- IT(情報技術)への対応
上記の「IT(情報技術)への対応」はさらに2つに分かれます。ひとつは「IT環境への対応」、もうひとつは「ITの利用及び統制」です。IT環境への対応とは、組織の内外におけるITの利用に関しての対応を指します。ITの利用及び統制は、内部統制を有効に活用させるためにITを有効かつ効率的に使うことで、内部統制の他の部分について有効に機能させることができます。
IT統制の重要性
IT統制とは社内のITに関連することをシステム化して管理することであり、さまざまな業務がIT化している日本の企業において重要な業務です。もしも社内のITシステムが適切に運用されていなければ、余計な手間や無駄な業務が発生してしまい、効率を低下させてしまいます。またルール作りをきちんと行っていなければ、大切なデータが間違って社外に流出してしまうなどのトラブルに発展し、信用に関わる問題になりかねません。
特に昨今はSNSやWebサイトを通して集客を図ったり、リモートワークで仕事を行ったりする会社も増えています。しかしIT統制がしっかりできていなければ、不適切な発言を会社のアカウントで発信してしまったり、在宅で仕事をするふりをしてサボっているのを見逃してしまったりなどのトラブルを招きます。
IT統制の分類
IT統制は以下の2つに分類されます。
- 【IT統制の分類】
- IT全般統制(ITGC)
- IT業務処理統制
IT全般統制(ITGC)とは社内全体に係るITインフラの構築や保守、整備などを指しています。業務の種類を問わず、社内のあらゆる部門でITがスムーズに利用できる状態にすることが目的です。
対してIT業務処理統制は、業務ごとに行われるデータ処理や記録管理のことです。あくまで業務単位でのことであり、IT全般統制と比較するとより具体的に細かく分かれています。
IT全般統制(ITGC)
IT全般統制(ITGC)とは、社内のあらゆる場面でITが問題なく運用できるようにITインフラを管理することです。主なものとして以下の4つが該当します。
- 【IT全般統制(ITGC)にあたる4つの業務】
- システム開発・保守に係る管理
- システムの運用・管理
- 内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
システム開発・保守に係る管理
システム開発・保守に係る管理とは、社内のITインフラを構築、修正することです。ソフト・システム導入前に行われるテストやシステム変更に対する承認や否認、事務手続きなども該当します。
システム開発・保守に係る管理が適切に行われない場合、会社全体のITシステムに問題が発生します。たとえばテストをしないまま新たなシステムを導入すると、何らかの理由でデータに食い違いが発生し、どのデータが正しいのかわからなくなるといったトラブルが起こりかねません。また、業務の変化に合わせてソフトウェアも変化しなければ、業務の効率が低下する場合があります。
システムの運用・管理
システムの運用・管理とは、社内のITに対して履歴(ログ)を保管したり、定期的にデータのバックアップを取ったりする業務のことです。ITインフラ全体に対してだけでなく、各種ソフトウェアに対しても行います。
システムの運用・管理が適切に行われていない場合、予期せぬトラブルが起こると問題が大きくなります。何が原因のトラブルであるのか、いつ発生したのかなどの確認が遅れて対策することができなかったり、原因不明の状態が長く続いたりという事態になりかねません。またデータ管理がおろそかにされていた場合、システムやデータの復旧に時間がかかったり、1から作り直しすることになったりという場合もあります。
内外からのアクセス管理などシステムの安全性の確保
内外からのアクセス管理などシステムの安全性の確保をするには、社内で使用されているITにセキュリティ対策を施し、不適切な干渉を防ぐことです。外部からの不正アクセスや攻撃だけでなく、社内から外部へ機密が流出してしまうことへの対策も含まれます。また、立てられたセキュリティ対策に対する評価や、目標とすべきセキュリティレベルの検討などもシステムの安全性確保業務です。
内外からのアクセス管理が適切に行われなければ、外部から不正アクセスされて会社の機密を持ち出されたり、データが書き換えられたりなどのトラブルになる場合があります。
外部委託に関する契約の管理
外部委託に関する契約の管理とは、ITに関わる業務を自社で行うのではなく、他社に依頼する場合に行う契約・内容確認・監査業務です。他所の企業に関わることであるため、おろそかにしていると会社どうしのトラブルに発展する場合があります。例えば、契約内容の管理にミスがあったため想定していたサービスが受けられなかったり、報酬の支払い期日を確認していなかったため契約違反とみなされたりなどの問題が想定されます。
IT業務処理統制
IT業務処理統制とは業務ごとにデータの正確性を高めるために、データを管理・記録する行為です。一般的に業務プロセスの中に組み込まれ、業務を行うたびに同じ処理が行われます。具体的には以下の4つが主なものとして挙げられています。
- 【IT業務処理統制にあたる4つの業務】
- 入力情報の完全性・正確性・正当性等を確保する統制
- 例外処理(エラー)の修正と再処理
- マスタ・データの維持管理
- システムの利用に関する認証・操作範囲の限定などアクセスの管理
IT業務処理統制の方法は、おおまかに「人間とITが行うもの」と「ITのみが行うもの」の2つに分けられます。
人間とITが行う統制とは、人間とITが連携してミスを防ぐ仕組みのことです。例えば伝票をソフトで作成し、それを紙に印刷して責任者に再確認してもらうなどの方法がそれにあたります。
対してITのみが行う統制とは、人間がミスをするとシステムやソフトが自動でそれを防ぐ仕組みのことです。例えばメールアドレスを入力する際、確認のために再入力をソフト側から求められることなどが該当します。
入力情報の完全性・正確性・正当性等を確保する統制
入力情報の完全性・正確性・正当性等を確保する統制とは、入力情報に過不足や、間違いはないか、最新の情報であるのかなどのチェックを目的とした仕組みのことです。一例ですが、ITの力でチェックを行う場合の顧客情報入力の際、空白があるとデータ処理されないようなソフトを使用するなどがそれにあたります。一方、どのような顧客情報を保持すべきかといったことに関しては、会社ごとに必要な情報が異なってくるため人間が決定する必要があります。
例外処理(エラー)の修正と再処理
例外処理(エラー)の修正と再処理とは、業務の進行に際してミスや変更があった場合、それを適切に修正し処理できるような仕組みのことです。一般的に業務に用いられるソフトウェアは、入力の際にミスをしても修正できるようにプログラミングされているため、心配しすぎる必要はありません。
マスタ・データの維持管理
マスタ・データとはそれぞれの業務に対し蓄積・保存されたデータであり、これを問題なく保存し続けることがマスタ・データの維持管理です。マスタ・データは業務に必要なデータの中で、最重要なものと位置付けられます。そのため慎重に扱う必要があると同時に、トラブルへの対策も必要です。
例としてトラブル対策にマスタ・データのバックアップをとっておくことや、誰がいつアクセスして何を行ったのかという履歴が残るようシステムを構築することなどが該当します。
システムの利用に関する認証・操作範囲の限定などアクセスの管理
システムの利用に関する認証・操作範囲の限定などアクセスの管理とは、各種システムに対してアクセスする権利を制限し管理することです。ITシステムに対して、社員の誰もが自由にアクセス・変更する権利を持っているのは、良い状態とは言えません。予期せぬ誤操作が起こったり、誰かが勝手なことをしたりすると、社内システム全体に影響して業務ができなくなってしまいます。
そうならないためには、重要なシステムに対して限られた人にのみアクセス権限を与え、必要最低限の操作だけを行うようにすることです。また、本当にアクセス権限を持っている本人なのかどうかの認証もアクセス管理です。
IT統制を担当する部門
IT統制は実際に行う際、以下の2つの部門に分かれて業務にあたります。
- 情報システム部門
- 内部監査部門
情報システム部門の主な業務は、実際にITシステムの構築や運営などを行うことです。対して内部監査部門は、出来上がったITシステムが目的に沿って機能しているかどうかチェックします。それぞれの部門に長所と短所があり、お互いに補い合ってIT統制を行うのです。
例えば情報システム部門はプログラミング等のコンピュータに関する専門知識を持っていますが、それ以外の知識についてはやや弱い傾向があります。一方で内部監査部門は、プログラミングの知識では比較的劣っているものの、社内全体を見てITシステムを考えるバランス感覚に優れています。
情報システム部門
情報システム部門の役割は、ITインフラを開発・構築しコントロールすることです。加えて、自ら作り上げたシステムに対し自己監査も行います。ITにかかるリスクや、自社の問題に対する解決策を検討・判断しながらプログラミングしなくてはならないため、非常に高度な技術が必要です。
専門性が高く、他社が簡単に真似できない独自のシステムを作れるという長所があります。一方で構築したシステムに対し第三者として評価できなかったり、ITに係る業務を重視しすぎて社内全体のことを考えにくい傾向にあったりという短所があります。
内部監査部門
内部監査部門の役割とは社内のITシステムに対し内部監査を行うことです。同じ社内ではありますが自らITシステムを作ることはなく、あくまで第三者として評価を下します。
ITシステムに対する監査を行うため、ある程度はIT関連の知識を持つ必要があります。同時に社内全体のことを考えて評価する必要があるため、バランスの取れた部門であるのが長所です。対して専門性という意味では情報システム部門にやや劣る傾向があり、実態に合わない意見や評価を下してしまう場合があります。
まとめ
IT統制は、どの会社にも当てはまるような具体的な仕組みがあるわけではありません。会社ごとにそれぞれ適したシステムを構築し評価する必要があるため、実際にIT統制を行うのは難しいことです。しかし一方で、現在の日本ではさまざまな業務に対してIT化が進んでおり、それに伴ってIT統制の持つ役割はますます重要になっています。
監査や上場のためではなく、何よりも自分の会社のためなのだという意識を持ち、本記事を参考に自社に適したIT統制を行ってください。
マネーフォワード クラウド会計Plusをご利用のお客様の声
今後の上場を見据え、マネーフォワード クラウド会計Plusを中心に必要なシステムを段階的に導入しました。システム間の連携により、情報の一元管理と内部統制の強化、業務フローの整備など、上場に耐えうる体制を実現できました。
株式会社Natee 取締役CFO 小澤 孝仁様
もっと読む
よくある質問
内部統制とIT統制の違いとは?
内部統制は、会社内全体に対し行われる統制です。業務の有効性や財務報告の信頼性、法令の遵守や資産保全などを目的としています。一方でIT統制は、あくまでIT関連のことに限定された統制です。社内ITに対してのシステム管理や監査を行うことで、ITに関わるトラブルや事故を防ぐことが目的になります。
IT統制の構成要素とは?
IT統制は「IT全般統制(ITGC)」と「IT業務処理統制」の2つで構成されています。その2つは主に下記の業務からできています。
- 【IT全般統制(ITGC)にあたる主な業務】
- システム開発・保守に係る管理
- システムの運用・管理
- 内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
- 【IT業務処理統制にあたる主な業務】
- 入力情報の完全性・正確性・正当性等を確保する統制
- 例外処理(エラー)の修正と再処理
- マスタ・データの維持管理
- システムの利用に関する認証・操作範囲の限定などアクセスの管理
※ 掲載している情報は記事更新時点のものです。
