「IT統制」という言葉を耳にしたことはありますか?
ビジネスの世界では重要な概念ですが、初めて聞く人には少し難しく感じるかもしれません。
この記事では、公認会計士の資格を持ち、ITシステム監査の経験を持つ筆者が、IT統制について初心者の方にもわかりやすく解説します。
是非最後までお読みになりIT統制の理解に役立ててください。
IT統制とは何か
IT統制とは内部統制の一部で、企業・組織のITの利用を適切に運用し、ITリスクを最小限に抑えることを目的としています。
ITを利用する際には例えば下記のようなリスクがあります。
- 利用者を誰にするか
- IT機器やアプリケーションを導入するときに、利用目的にあうのか
- プログラムは意図した通りに動いているのか
- データが書き換えられないか
- PCやスマホは誰に貸与されていて、どこにあるのかわからなくなる
- 外部委託先はセキュリティや品質に問題がないか
こういったリスクへの対応する体制がなければ、企業活動の妨げになる事態が発生し売上や信用を失うことになり、場合によっては企業の存続に関わるでしょう。
このため、管理体制、管理基準、運用方法、チェック方法を構築し、管理・統制することが必要であり、これがIT統制なのです。
IT統制の基本的な概念
IT統制とは、企業や組織がITシステムを安全かつ効果的に運用するために設ける規則や手続きのことです。
システムの運用、データの処理、アクセス管理など、企業のIT環境全体を管理・監視し、リスクを最小限に抑えることを目的としています。
IT統制の目的
IT統制は下記の目的を達成するように構築します。
- 情報の信頼性確保
- セキュリティの強化
- 業務効率の向上
- 法令遵守
- リスク管理
- 事業継続性の確保
- 戦略的IT投資の実現
- ガバナンスの強化
それぞれ解説します。
- 情報の信頼性確保
組織内で扱う情報は正確で信頼できるものでなければなりません。
例えばプログラムに不具合があって決算書に使用されるデータが不正確であれば、株主は投資判断を誤り、経営者は経営判断を誤ることになるでしょう。
企業活動は日常的にITを利用して得られたデータを利用していることから、その正確性が重要であり、信頼されなければならないのです。
- セキュリティの強化
企業の情報資産は不正アクセスや漏洩をさせてはなりません。
データの暗号化やアクセス権限を設定し、不必要なデータへのアクセスをさせないことで情報の流出のリスクを最小限にします。
- 業務効率の向上
ITシステムは業務の効率性を高めるために利用します。
ITシステム導入による業務プロセスの改善や重複した作業の自動化を行う等で業務プロセスを最適化します。
- 法令遵守
IT関連の法規制や業界標準に準拠させなければなりません。
上場企業では内部統制監査が義務付けられていて、そのなかでIT統制が整備されて機能していることの監査を受けることが法律で義務付けられています。
法規制以外にも業界特有のセキュリティ基準があります。
このような法規制やセキュリティ基準への対応を行うためです。
- リスク管理
IT関連のリスクは幅広く存在します。
例えばネットの接続障害と、サイバー攻撃による情報漏洩ではリスクの種類や重要度も対応策も異なるでしょう。
リスクの評価を行い、その評価結果に応じた対策・準備を行う必要があります。
- 事業継続性の確保
企業活動はITシステムを利用しています。
災害やシステム障害発生時でも重要な業務を継続できるような体制をとらなければなりません。
データのバックアップや緊急時の対応策、災害復旧計画を策定する等で対応します。
- 戦略的IT投資の実現
業務の効率化を意図するのか、経費の減額を意図するのかと投資目的は様々です。
IT投資を計画し、決定する際に評価基準が必要です。
評価基準や評価方法がなければ適切な判断はできないでしょう。
新規IT投資、あるいは大規模改修の必要性だけで投資の判断をしないよう、IT投資の評価プロセスが必要になるのです。
- ガバナンスの強化
全社的なITへの管理や投資判断、ITに関するリスクの責任は経営者が負います。
例えばIT投資は高額な支出が必要で、導入する際には企業内部の人員の動員や利用者が慣れるまでの時間が必要です。
ITシステムの導入決定の判断を誤ると非常に大きな損失に繋がります。
また、社内でITに関する問題が発生し外部に損害が生じた場合、対外的には経営者の責任が問われます。
このため、経営者がIT投資やITリスク体制の構築の判断をするための管理体制が必要となるのです。
IT統制の種類
IT統制は一般統制とアプリケーション統制の2種類に分けられます。
一般統制はITシステム全体に適用される統制で、アプリケーション統制は個々のアプリケーションやIT業務プロセスに適用される統制という違いです。
それぞれ説明します。
一般統制(General Controls)
システムに通常存在するリスクへの対応体制をいいます。
アクセスに関するリスクやプログラム変更時のリスク等はどのシステムにも大小様々なリスクがあります。
もちろん自社作成のシステムかパッケージソフトであり自社で修正変更ができないシステムかという違いはあるでしょう。
このシステム毎にリスクがあるか評価し、リスクに対応した管理体制を整備・運用するというものです。
一般統制はJ-SOXではIT全般統制と呼ばれます。
評価するリスクと管理体制は具体的には下記になります。
管理体制分類 | 統制例 |
アクセス管理 | アクセス権限の設定、ルール、パスワード設定 |
プログラム変更管理 | プログラム変更のルール、テスト実施や本番環境への移送手続き |
データ変更管理 | データベースに直接アクセスしデータ変更・削除を行う手続き |
IT基盤管理 | データサーバの管理、機器・機材の管理 |
日常運用管理 | バッチ処理手続きやモニタリング手続き |
外部委託管理 | 外部委託先業者の評価や報告の受領手続き |
表記・表現方法は企業や評価者により異なるので、例えばプログラム変更管理とデータ変更管理をまとめて「変更管理」としている企業もあります。
注意点は、システム毎に作成する必要があり、例えば売上システムと人事給与システムがある場合には、それぞれのシステム毎に一般統制を作成します。
同じシステムを利用しており、名前が違う・わずかな違いしか無い・リスクが似ているというような共通事項が多い場合には複数システムの評価をまとめることも可能です。
アプリケーション統制(Application Controls)
特定のアプリケーションに関連する統制です。
個別の業務プロセスに紐づいたアプリケーションの機能が有効であることを担保する統制です。
例えば仕入情報をシステムに入力するときに、マスタ登録された仕入先を入力しているか、個数や金額で通常あり得ない数値を入力していないか、入力者は担当者で間違いないか、といったリスクに対応する統制のことを言います。
アプリケーション統制には、アプリケーションが自動で実行する統制と、人の手作業とアプリケーションの動作を組み合わせて行う統制の2つがあります。
前者は、システムが自動的にルールを適用して処理を管理するもので、ヒューマンエラーを防ぎ効率的に処理されます。
後者は、システムの自動処理と人の判断や操作を補完的に組み合わせることで、柔軟に対応しつつ、統制を確保する方法です。
これにより、より複雑な業務や例外的なケースにも対応できるようになっています。
J-SOXではIT業務処理統制と呼ばれることもあります。
IT統制の重要性
IT統制の目的は前述しましたが、IT統制の重要性について詳しく解説します。
IT統制は単なる規則や手続きではなく、企業の健全な運営とリスク管理に不可欠な要素です。
リスク管理とIT統制の関連性
下記の4つのリスクがIT統制と関わりの大きい経営リスクとしてあげられます。
- 情報セキュリティの強化
- 業務効率の向上
- コンプライアンスの確保
- 意思決定の質の向上
IT統制があることにより、これらのリスクがどのように低減されるかを解説します。
- 情報セキュリティの強化
適切なIT統制により、データ漏洩やサイバー攻撃のリスクを大幅に減少させることができます。
例えばIT統制ではデータへのアクセス権限やアクセス方法を決めて、不用意なアクセスを減らすようにします。
逆にアクセス制限がない場合には、誰でもアクセス可能とも言える状態になり、企業のデータが持ち出されるおそれが増加するでしょう。
- 業務効率の向上
ITシステムの安定性と信頼性が向上し、業務の中断リスクが軽減されます。
ITシステムの不具合でメール・チャットが使えない、アプリケーションが使えないといった事態は起こりえます。
IT統制では、サーバのメンテナンスを計画的に実行する、アプリケーションのアップデートの検証を経て実施する等の対応で安全性を保ちます。
こうしたIT統制があることで、不具合を可能な限り減らすことができるようになるのです。
- コンプライアンスの確保
法令や規制への準拠を確実にし、法的リスクを最小限に抑えます。
例えば、以下のような法令や規制に適合するために、IT統制を作成し運用することでコンプライアンス違反が発生しにくい体制を作ることができます。
- 個人情報保護法に基づいたデータの管理や処理を行うこと
- 上場企業ではJ-SOXで求められる財務データの正確性と信頼性の確保を行うこと
- 業界特有の規制や海外の法令で顧客データや取引データの保護を行うこと
- 意思決定の質の向上
正確で信頼性の高い情報をITシステムが提供することで、経営判断のリスクを低減します。
企業のデータは入力したデータをそのまま利用することは多くありません。
売上などの経営数値であれば、集計・分類し、図表に表すなどをして分析をするでしょう。
この時、プログラムの不具合やデータの連携の失敗で過去のデータや間違ったデータにより作成されるおそれがあります。
正確なデータから適切な経営判断ができるようにしなければなりません。
IT統制でプログラム変更管理やアプリケーションのテストなど、データの信頼性を担保し、経営判断のリスクを低減します。
内部統制との関連性、外部監査の観点からの重要性
IT統制はどの企業にも重要ですが、特に上場企業では外部監査を受けなければならないため重要になります。
IT統制は内部統制の重要な構成要素であり、財務報告の信頼性を担保します。
そして財務諸表監査は公認会計士の資格を持つ外部監査人により行われます。
適切なIT統制は、外部監査で提出が求められる資料や対応しなければならない事項が減り、外部監査をスムーズに進行させることができます。
IT統制が不十分な場合のリスク
IT統制が欠如しているとどのような問題が発生するのか。
以下に具体例を紹介します。
- 情報漏洩: 顧客データや機密情報が外部に流出し、企業の信用が失墜する可能性があります。
例:従業員が不適切なアクセス権限を持ち、個人情報を持ち出してしまう。
- システム障害: 重要なシステムがダウンし、業務が停止するリスクがあります。
例:バックアップ体制が整っておらず、サーバー故障時にデータが復旧できない。
- 不正会計: 財務データの改ざんや不正な取引が見過ごされる可能性があります。
例:システムへのアクセスログが適切に管理されておらず、不正な会計処理が発見されない。
- コンプライアンス違反: 法令や規制への違反が発生し、罰金や行政処分を受けるリスクがあります。
例:個人情報保護法に準拠したデータ管理ができておらず、罰則を受ける。
- 業務非効率: システムの不具合や使いにくさにより、業務効率が低下します。
例:古いシステムの更新が適切に行われず、処理速度が遅く、従業員の生産性が低下する。
IT統制の重要性を理解し、適切に実施することで、これらのリスクを最小限に抑え、企業の持続的な成長と発展を支援することができるのです。
IT統制の導入5ステップ
IT統制を構築する際には例えばJ-SOXに準拠するため、IPOの準備のため、サイバーセキュリティのためといった目標を定めます。
目標を定めたあとに、構築作業に入るわけですが、ここでは一般的なIT統制の導入の5ステップを紹介します。
- 現状の把握
- 目的と現状のギャップ分析
- 構築
- プレ運用・評価・改善
- 運用
簡単な流れを表すと下記のようになります。
目標設定 >> 情報収集 >> 過不足を認識 >> 目標を達成するよう構築 >> 試験運用 >> 見直し・修正 >> 本格導入
より詳細に解説します。
- 現状の把握
社内で利用しているシステムを確認します。
ここでいうシステムとは、
- アプリケーション(WindowsやiOSなど)
- PCやタブレットや携帯端末
- データの保存先(例えばクラウドや社内サーバ)
全社の業務に横断的に使用されているシステムから、特定の部署・部門でのみ使用するシステム、会計システム等の情報を集めて記録します。
ITシステムに関する業務ルールや内部規程があるなら、その整備状況も確かめます。
IT統制の目標に合わせて情報を集めますが、できる限り網羅的に情報を集めましょう。
調査の注意点は、IT統制で構築する具体的な項目から調べる方法に限定しないことです。
ミニマムに情報を集めるのではなく、幅広く情報を集めておけば後のステップで見直す際に、検討するための情報収集が少なくすみます。
- 目標と現状のギャップ分析
システムの情報が集まったら目標と照らし合わせて足りているか・不足しているなら作成しなければならない、ということを判断します。
IT統制を作る場合には、法令や業界標準の規定を満たすために作成する場合がほとんどでしょう。
そして、法令や業界標準の規定は公表されており、特異なものでなければ誰でも入手可能ですから、その基準に沿うようにIT統制を作成します。
自主的な規定を作成することは、労力がかかることや構築すべき限度がわからず効率的ではないので一般的な基準を満たすところから始めるのがよいでしょう。
目標が内部統制報告制度であれば、金融庁や経済産業省のHPに必要な要件や具体的な要求項目が記載された資料があります。
この要求項目に沿う社内規定や業務ルールがあるか無いか、ルールが未熟であるか、といった分析をします。
このときに、法令や基準の要求事項そのものが自社にとって必要であるのかも分析します。
- 構築
目標と現状のギャップ分析の次に、必要なIT統制を構築していきます。
法令や規定の要求項目に対応する、リスクに対応できる統制を構築する、といった作業です。
構築する際に以下の2点に注意して作成します。
- 大きな単位から作成する
- 標準化・継続実施可能であるように作成する
- 大きな単位から作成する
全社レベルの大きなところから作成し、徐々に範囲を狭めていきます。
例えば、”全社的なIT統制” >> ”システムごとのIT統制” >> ”業務統制や現場レベルの統制”といった順番です。
緊急性がある箇所を優先することは問題ありません。
大事なのは全社レベルなのか、システムレベルなのか、日常の一般職員の実施するレベルのIT統制なのかを意識して作成する必要がある、ということです。
経営者レベルが関与すべきルールが一般職員が実施するルールとされても適切なルールではありませんし、逆もしかり、です。
- 標準化・継続実施可能であるように作成する
内部統制は、誰が実行しても同じ結果になることが求められます。
法定の品質基準を満たすために、特殊な資格を持つ担当者が検査するといったようなケースもありますが、原則的には属人性を排除した統制を作ります。
また、継続実施可能であることも重要です。
実現不可能な目標や実行困難なルールを設定しても効果がないのは明らかで、目標は達成されません。
- プレ運用・評価・改善
IT統制は構築したら運用して改善の余地があるかを調べます。
この際の運用は、本格運用ではなくプレ運用とでもいうもので、評価・改善を前提としています。
現場に合わせて作成してはいるものの、実際の業務のリソースの問題などで運用できないということもありえます。
実際に運用してみて、運用結果を評価して改善を行うのです。
いきなり本格的に導入した場合、不備・指摘が出てしまうとIT統制が機能していないという全体的な評価結果に繋がりかねません。
大規模なIT統制を構築した場合や大幅な修正を行う場合には試用期間も含めて構築期間を取りましょう。
- 運用
実際に運用可能と判断したら、本格運用します。
運用は1年毎あるいはそれより短い期間でモニタリングします。
ITは技術革新が速いため定期的な見直しと更新が必要で、そのためのモニタリングを行います。
まとめ
本記事では、IT統制の基本的な概念から重要性、種類、実施方法まで幅広く解説しました。
IT統制は、企業や組織がITシステムを安全かつ効果的に運用するための重要な取り組みです。
適切なIT統制の実施により、情報セキュリティの強化、業務効率の向上、コンプライアンスの確保、意思決定の質の向上といった重要な経営課題に対応することができます。
一方で、IT統制が不十分な場合、情報漏洩、システム障害、不正会計、コンプライアンス違反、業務非効率といったリスクが高まる可能性があります。
急速に変化するIT環境において、IT統制の重要性はますます高まっています。
企業の持続的な成長と発展のために、経営者だけでなく、企業に所属するもの全員がIT統制の意義を理解し、適切な実施と継続的な改善に取り組むことが求められているのです。
記事を読んだ感想、質問、疑問点あるいはご指摘事項がありましたら質問フォームにご記載ください。
可能な限りご回答させていただきます。
コメント