• 更新日 : 2024年5月7日

IT統制とは?構築プロセスや評価項目、対応時のポイントを解説【テンプレート付き】

IT統制は、情報システムの適切な運用と管理を確立し、情報資産を保護するための仕組みです。近年、企業活動におけるITの重要性が高まる一方で、サイバー攻撃や情報漏洩などのリスクも増大しています。IT統制は、こうしたリスクに効果的に対応し、経営の健全性を維持するために不可欠な存在となっています。

この記事では、IT統制の基本的な概念をわかりやすく解説するとともに、その重要性と導入のメリット、具体的な種類や構成要素について紹介します。

IT統制とは

IT統制とは?構築プロセスや評価項目、対応時のポイントを解説
IT統制とは、企業が情報システムを適切に管理し、リスクをコントロールするための内部統制の一環です。これには、IT全社統制、IT全般統制、IT業務処理統制の3つの主要な領域があります。

金融庁は、財務報告に関連する内部統制の評価及び監査の基準として、IT統制の構築を企業に求めています。

IT統制と内部統制の違い

IT統制と内部統制は、どちらも企業の健全な経営を支える重要な仕組みですが、それぞれ役割と範囲が異なります。

内部統制は、企業の目標達成に向けた活動において、不正の防止、情報の信頼性確保、業務の効率化、資産の保護などを目的とした統制の仕組み全般を指します。

一方でIT統制は、内部統制の要素の一つであり、情報システムに関連するリスクを管理するためのフレームワークです。

内部統制について、詳しくは以下の記事をご参考ください。

IT統制の方法は3つ

IT統制とは?構築プロセスや評価項目、対応時のポイントを解説
一般的に、IT統制の方法は以下の3つです。

  • IT全社統制: IT統制全体の枠組み
  • IT全般統制: 情報システム基盤全体の統制
  • IT業務処理統制: 個々の業務処理における統制

IT全社統制とは

IT全社統制とは、企業全体の情報システム環境における統制を整備し、有効性を確保するための仕組みです。情報システムに関連するリスクを組織全体で管理し、経営の健全性を維持するために重要な役割を果たします。

IT全社統制の構成要素は、以下の5つです。

  • 統制環境: 統制を適切に機能させるための基盤となる環境
  • リスク評価: 情報システムに関連するリスクを特定し、評価する
  • 統制活動: リスクを軽減するための具体的な活動を行う
  • 情報とコミュニケーション: 統制に関する情報を適切に伝達する
  • モニタリング: 統制の有効性を継続的に評価し、改善する

IT全社統制を導入することで、経営リスクの低減やコンプライアンスの遵守、情報資産の保護といったメリットを得られます。

IT全般統制(ITGC)とは

IT全般統制(ITGC: Information Technology General Control)とは、企業情報の信頼性を確保するために利用するITシステムを、適切に運用管理する仕組みです。情報システムの適切な運用と管理を確立し、情報資産を保護するために重要な役割を果たします。

IT全般統制の構成要素は、以下の4つです。

  • システムの開発、保守に係る管理
  • システムの運用・管理
  • 内外からのアクセス管理などシステムの安全性の確保
  • 外部委託に関する契約の管理

IT全般統制は、IT業務処理統制の基盤となる統制であり、情報システム全体の信頼性を高めるために必要不可欠な存在です。

IT業務処理統制とは

IT業務処理統制(ITAC: Information Technology Application Control)とは、業務アプリケーション及び業務プロセスにおける処理や記録を統制し、承認された業務がすべて正確に処理、記録されることを担保するための仕組みです。

業務データの正確性、完全性、正当性を確保し、不正な処理やデータの改ざんを防ぐために重要な役割を果たします。

IT業務処理統制の主な要素は、以下の4つです。

  • 入力統制: 入力データの正確性、完全性、正当性をチェックする
  • 処理統制: 処理過程における不正な処理やデータの改ざんを防ぐ
  • 出力統制: 出力データの正確性、完全性を確認する
  • マスターデータ管理: マスターデータの正確性、完全性、一貫性を維持する

IT業務処理統制は、IT全般統制に基づいて構築される統制であり、個々の業務処理における情報システムの信頼性を高めるために必要不可欠な存在です。

IPOに向けたIT統制構築のプロセス

IT統制とは?構築プロセスや評価項目、対応時のポイントを解説
IT統制は、内部統制の一環として、企業の情報技術システムが財務報告に関わる情報を正確かつ適時に提供することを保証する役割を担っています。

IPOに向けて、このIT統制を構築し、運用していく複数のステップに分かれます。

1.現状の把握

IPO準備中の企業は、まず現在のITシステムと業務プロセスの現状を正確に把握することが必要です。これには、社内で利用している全てのシステムと、それらを取り巻く業務ルールや内部規程の整備状況を確認することが含まれます。

システムの一覧化や業務プロセスの整理、それらに基づくIT統制の現状評価が行われます。特に、会計システムや販売管理システムなどの主要なシステムについては、その機能と統制の状況を詳細に検討しなければなりません。これには、システムのセキュリティ、アクセス権限の管理、データの完全性と正確性を確保するための措置が含まれます。

また、社内での教育や研修を通じて、IT統制に関する意識の高揚と理解を深めることも重要です。

2.目標と現状のギャップ分析

現状把握が完了したら、次にIPO要件を満たすためのIT統制目標と現状のギャップを分析します。

この段階では、内部統制報告制度や情報セキュリティ管理基準など、IPOに必要な規制や基準を満たすための要件を明確にし、現在のIT環境がそれらの要件にどの程度合致しているかを評価します。

3.IT統制環境の構築

ギャップ分析をもとに、必要なIT統制環境の構築を計画します。これには、不足しているセキュリティ対策の実施、IT全般統制(ITGC)やIT業務処理統制(ITAC)の整備、外部委託先の管理強化などが含まれます。

特に、経営戦略に基づくIT戦略の策定、ITリスク管理の強化、システム開発・運用プロセスの標準化が重要です。

4.評価・改善の実施

構築したIT統制環境は、定期的な評価と必要に応じた改善が不可欠です。内部または外部の監査を通じて、IT統制の有効性を評価し、見つかった問題点に対しては迅速に改善措置を講じます。

このプロセスを通じて、継続的なIT統制の強化と効率化を図ります。

5.運用

IT統制とは?構築プロセスや評価項目、対応時のポイントを解説
IT統制環境の実効性を維持するためには、構築した体制の運用が重要です。

IT統制ポリシーの周知徹底、定期的な研修や教育の実施、運用プロセスのモニタリングと改善が必要となります。これにより、組織全体でのIT統制の理解と遵守を促進し、IPOに向けた内部統制の強化を実現します。

IT統制における評価項目と対応のポイント

IT統制とは?構築プロセスや評価項目、対応時のポイントを解説
IT統制の評価は、内部監査部門や外部監査法人によって実施されます。この評価は、ITシステムが財務報告の正確性を保証するための適切な内部統制を行っているのか、判断するためのものです。

評価項目には、IT環境への対応、ITの利用及び統制などが含まれます。評価結果は経営者や監査役会に報告され、IT統制の改善に役立てられます。

その結果、組織全体のリスク管理が強化され、IPOに向けた企業価値の向上に寄与することが期待できるのです。

パスワードの設定と管理

パスワード管理は、IT全般統制の一部として重要な位置を占めます。評価項目としては、パスワードの強度、有効期限、再利用の禁止などがあります。

情報システム部門が中心となって行うのが一般的です。これらの措置を講じることで、不正アクセスから情報システムを守ることができます。

評価項目チェックされる内容対応のポイント
パスワードの要件
  • 十分な長さがあるか
  • 覚えやすい文字列ではないか
  • 特殊な記号などが含まれているか
  • 使いまわされていないか
  • 文字数の設定

  • 必要な文字列の設定
  • パスワードの履歴の保管
  • パスワードの有効期限
  • 定期的に変更しているか
  • 一定期間でのパスワードの変更
  • パスワードのロックアウト
  • 複数回間違えるとアカウントがロックアウトするようになっているか
  • アカウントロックの設定
  • データの管理

    データ管理における評価項目には、データの正確性、完全性、および機密性の保護が含まれます。特に、財務データや顧客情報の取り扱いに関しては、適切なアクセス制御と監査証跡の確保が求められます。

    一般的に、情報システム部門が担当します。

    評価項目チェックされる内容対応のポイント
    バックアップと復旧
  • 定期的にバックアップがとられているか
  • データの復旧手順は決まっているか
  • データが破損、焼失した場合に最新の状態にまで戻せる

  • 速やかに復旧することができる
  • データの暗号化
  • 個人情報などデータが暗号化されているか
  • 機密情報の暗号化による保存
  • データのアクセス制御
  • データへのアクセス権限が制限されているか
  • アカウントごとの権限設定
  • アクセス制限
  • プロセスの管理

    プロセス管理の評価項目には、業務プロセスの自動化に関連する統制が含まれます。主な評価内容は、システムによる業務処理の正確性、効率性、およびその監視機能の有効性などです。

    業務プロセスを担当する各部門と情報システム部門が連携して取り組みます。適切なプロセスの管理と統制により、誤った情報の入力や不正な処理を防ぎ、全体としての業務の信頼性を高めることができます。

    評価項目チェックされる内容対応のポイント
    権限管理
  • アカウントごとに権限が制限されているか
  • アカウントごとの権限設定
  • 変更管理
  • システムの変更について、適切な承認と管理がされているか
  • ワークフローなどの承認フローの導入
  • 監査ログの管理
  • システムへのアクセスログなど履歴が記録・保管されているか
  • アクセスログ、操作履歴の保管
  • IT統制チェックリストのテンプレート – 無料ダウンロード

    IT統制は、サイバー攻撃や情報漏洩のリスクを防ぎ、経営の健全性を維持するために不可欠な取り組みとなっています。しかし、何をチェックし、どのように統制を進めていくか、頭を悩ませる方も少なくありません。

    IT統制に関するテンプレートでは、自社のIT統制状況を効率的に確認し、必要な改善点を明確にすることができます。
    無料テンプレートをダウンロードし、自社のIT統制体制の強化を進めましょう。

    まとめ

    IT統制は、情報システムの適切な運用と管理を確立し、サイバー攻撃や情報漏洩などのリスクに対応するための重要な仕組みです。企業の経営健全性を維持するため、「IT全社統制」「IT全般統制」「IT業務処理統制」の3つの領域を通じて、業務効率化やエラー防止、アクセス権限の管理などを実行します。これらの統制は、企業が内部統制の一環としてリスクを管理し、健全な企業活動を実現するために不可欠です。

    また、IPOに向けたIT統制構築のプロセスは、現状の把握から始まり、目標と現状のギャップ分析、IT統制環境の構築、評価・改善の実施、そして運用に至るまでの複数のステップに分かれています。これにより、組織全体のリスク管理が強化され、企業価値の向上に寄与します。IPO審査においてIT統制は重要な評価項目の一つとなっているので、まだIT統制が整備されていない企業は、審査に向けて取り組みを強化しましょう。

    よくある質問

    IT統制とは?

    IT統制とは内部統制の一環で、情報システムの適切な運用と管理を確立し、情報資産を保護するための仕組みです。

    IT統制を進める流れは?

    IPOに向けてIT統制を構築する際の流れは、以下のフローになります。

    1. 現状の把握
    2. 目標と現状のギャップ分析
    3. IT統制環境の構築
    4. 評価・改善の実施
    5. 運用


    ※ 掲載している情報は記事更新時点のものです。

    ※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。

    関連記事