「IT全般統制って何? J-SOXって本当に必要なの?」
多くの企業が直面するこれらの疑問。
しかし、これを理解し適切に実施できないと、企業の信頼性が揺らぎ、最悪の場合、法令違反のリスクさえあります。
IT全般統制は、単なる法令遵守以上に、企業の健全な運営と成長に欠かせない要素なのです。
公認会計士として財務諸表監査やITシステム監査の経験を持つ私が、IT全般統制の重要性と実践方法をわかりやすく解説します。
この記事を読めば、あなたも自信を持ってIT全般統制に取り組めるようになります。
ぜひ最後までお読みください。
1.IT全般統制がなぜ必要とされるのか
上場企業は金融商品取引法(以下、金商法と記載します)で決算書などの年間の経営成績や財政状態を説明する財務諸表の作成と開示が義務付けられています。
また、会社が不正や誤謬(意図しない誤り)などで間違った財務諸表を作成しないようにするための仕組みを作ることも義務付けられているのです。
この間違った財務諸表を作成しないようにする仕組みを内部統制といいます。
IT全般統制はこの内部統制の一部、ITに関する内部統制の中に位置づけられています。
J-SOXの概要と重要性
金商法の中で”内部統制報告制度”が定められています。
この制度の由来は、アメリカで経営者ぐるみの粉飾決算があり、大企業が倒産する、世界規模の監査法人が解散するという事件がきっかけになっています。
粉飾決算は会社の出資者・投資家・取引業者・従業員に多大なマイナスの影響があるのは言うまでもありません。
このため、粉飾をさせない仕組みが必要だということで、法律で内部統制を企業内に構築するよう義務付けたのです。
このアメリカの法律名がサーベンス・オクスリー法(SOX法)で、J-SOXという名称はこれにならって、日本版SOX法という意味で通称として使われているものです。
以下ではJ-SOXと記載します。
ITシステム統制の必要性
J-SOXは財務報告の信頼性を担保するための仕組みです。
現在ではITシステムを利用せずに決算を行う大企業はありません。
そしてITシステムが信頼できるものでなければ決算情報も信頼できないものになります。
このため、決算に係るITシステムに対しても、ITシステムが正常に機能していることを担保することが重要なので、J-SOXの中でITリスクへ対応した内部統制の構築が要求されています。
IT全般統制(ITGC)の位置づけ
IT全般統制はITシステムにおける内部統制の分類の1つです。
J-SOXにおけるIT統制は以下のように大きく分類されます。
- 全社的なITガバナンスに関する統制
- 財務報告に関連するITシステムの統制
- 自動計算や入力・出力チェックといった財務報告に関連した特定の業務プロセスに組み込まれたアプリケーションレベルの統制
IT全般統制は”B.財務報告に関連するITシステムの統制”を指します。
IT全般統制は一般的にITGC(IT General Control)と略されます。
AはIT全社統制(IT Company Level Control (略称:ITCLC))とよばれ、
CはIT業務処理統制(IT Application Control (略称:ITAC))と呼ばれます。
2. J-SOX IT全般統制(ITGC)の基本
ここからはIT全般統制を中心に解説します。
IT全般統制(ITGC)の定義と目的
- IT全般統制(ITGC)の定義
IT全般統制(ITGC)とは、企業全体におけるITシステムの信頼性を確保するために設けられた基本的な統制を指します。
アプリケーションやITシステムに共通する基盤的な統制で、組織全体のITインフラの信頼性を確保する役割と説明されるものです。
- IT全般統制(ITGC)の目的5つ
IT全般統制の具体的な目的は下記になります。
- システムの信頼性確保
- 情報の機密性、完全性、可用性の確保
- システム開発および変更管理の正確性
- アクセス管理の強化
- 災害対応とデータ復旧
それぞれ解説します。
- システムの信頼性確保
ITシステムが正確かつ一貫して運用され、企業の業務や財務報告において誤りが生じないようにすること。
- 情報の機密性、完全性、可用性の確保
機密情報が不正にアクセスされないようにし、データが改ざんされないこと、また必要なときにデータが利用できるようにすること。
- システム開発および変更管理の正確性
新しいシステムの導入やシステム変更が適切に管理され、業務に支障をきたすリスクを最小限に抑えること。
- アクセス管理の強化
適切な権限を持つユーザーだけがシステムやデータにアクセスできるようにすることで、不正使用やデータ漏洩を防ぐこと。
- 災害対応とデータ復旧
システム障害や災害が発生した際に、迅速にシステムを復旧し、業務を継続できるようにするための計画と手段を整備すること。
J-SOXにおけるIT全般統制(ITGC)の重要性
企業にとって重要なシステムであるにも関わらず、IT全般統制が無い場合には以下のようなインシデント(業務の正常な運営を妨げる予期しない出来事や事故のこと)が発生します。
- 企業の業務や財務報告が誤ったものになり、日常業務も機能せず対外的に信頼を失う
- システムが不適切に変更され、不具合でシステムがダウンする・業務が止まる
- 不要なアクセスによりデータが壊される・社外にデータが持ち出される
- 災害で被害が発生したあとの復旧が遅くなり、業務が停滞する
こういった事態をITシステムを利用する場合に、あらかじめ発生可能性がどのくらいであるかを評価して、予防するのがIT全般統制です。
IT全般統制がなければ、防止することはおろか発生したインシデントがどこまでも広がっていく事態になることもありえます。
IT全般統制があることにより、インシデントの予防をし、仮にインシデントが発生しても影響が広がることを防止し、原因の特定と対処方法の立案が迅速に行うことができるようになるのです。
IT全般統制(ITGC)とIT業務処理統制(ITAC)の関係
IT全般統制は、組織の情報システム全体に影響を与える広範な統制であり、システムの整合性、信頼性、およびセキュリティを保証するために設計されています。
一方、IT業務処理統制は特定の業務アプリケーションに焦点を当てたもので、特定のビジネスプロセスの正確性と完全性を確保するために設定されます。
IT全般統制を基盤として、IT全般統制の上にIT業務処理統制があるとイメージするとよいでしょう。
このため、”IT全般統制が有効でない”と評価されたITシステムは、そのITシステムに関わるIT業務処理統制の全てが有効ではない、あるいは有効であると判断できる状況にないと評価されます。
IT全般統制(ITGC)対応の主要な領域
IT全般統制の評価にあたり、金融庁は以下の評価項目を例示列挙しています。
- システムの開発、保守
- システムの運用・管理
- 内外からのアクセス管理などのシステムの安全性の確保
- 外部委託に関する契約の管理
リンク:
財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査
IT全般統制を構築するまたは整備し直すときには上記の評価項目を最低限検討し、必要な統制を作る必要があります。
なぜ必要なのかという理由の1つが、J-SOXでは内部統制を整備・運用するだけではなく、外部監査人の監査を受けなければならないと定められているからです。
外部監査人は企業と契約した監査法人・公認会計士等が行いますが、監査法人は上記の金融庁の公表された意見書を拠り所にするからです。
金商法のためではなくIT全般統制を自主的に構築しようとする場合は、任意のシステムを選び、評価項目も自由に選んで作成して問題ありません。
ですが、J-SOX対応でなくてもIT全般統制の目的を達成するためには上述の評価項目を抑えることが目標達成の近道になるでしょう。
IT全般統制(ITGC)対応に必要な3つの考え方
IT全般統制は、財務報告に関係するITシステム全てが内部統制構築の評価の候補になります。
全てのシステムに対して内部統制を構築しろ、とはJ-SOXは要求していません。
J-SOXでは重要なシステム、必要なシステムを選定して作成するよう求めているのです。
その考え方が以下の3つになります
- リスク・アプローチ
- 全社的な内部統制との連携
- 継続的な改善と見直しの必要性
以下で解説します。
- リスク・アプローチ
リスク・アプローチとは「何が危険か」を見定め、その見定めた結果に対して危険なものから仕組みを作り上げる方法です。
「何が危険か」を見定め、とは
- 重要なものか、重要ではないものか
- 危険なものか、それほど危険ではないものか
- 緊急性があるものか、緊急性がないものか
ということを評価することをいいます。
そして、例えば重要なものを優先的に対処する仕組みを作るというものです。
重要かつ危険なものを優先する、というように複数の評価基準を適宜組み合わせて考えるとよいでしょう。
ここでは内部統制の話なので、仕組みという枠で説明しましたが、リスク・アプローチは広い意味では優先すべき事項を決める時などに使うものです。
費用対効果を踏まえて内部統制を構築していくこと、リスクに対して内部統制を構築する、という意味ではリスク・アプローチは中心的な方法になります。
- 全社的な内部統制との連携
これはIT全般統制(ITGC)を企業全体の内部統制システムの一部として作成することです。
具体的には、ITGCの方針や実践を会社全体の目標や価値観と一致させ、各部門が協力してリスク管理を行うことを意味します。
一部の部署で業務のルールを作る、というものではありません。
各部門の連携により、ITGCは単なる技術的な取り組みではなく、企業に不可欠な要素として機能し、ガバナンスの強化につながります。
- 継続的な改善と見直しの必要性
内部統制は継続的に必要なものですから、機能しているのか、適切に運用しているのかをチェックしなければなりません。
また、継続的であるためには特定の者しかできない・理解できないものではなく、ある程度の知識と経験があれば実践可能・理解可能なものでなければならないでしょう。
そして必要に応じて改善していくのです。
逆に、必要に応じて見直していくものですから、最初から完璧でなければならないというものではありません。
リスク・アプローチと重なる考えですが、リスクを必要なだけ抑え込める程度に作成し、継続的なモニタリングと改善活動で対応しましょう。
IT全般統制構築の5ステップ
IT全般統制の構築は、計画的かつ体系的に進める必要があります。
以下が、主要な5ステップです。
- 対象システムの特定
- リスク評価
- 統制活動の設計
- 統制活動の実施
- モニタリングと評価
以下、解説します。
- 対象システムの特定
重要な財務報告プロセスにに関連するITシステムを識別します。
識別する方法は、例えば売上プロセスなどの主要な勘定科目に大きく関わるシステムであったり、固定資産プロセスで使用するシステム、子会社の連結プロセスで使用されるシステムです。
また、システムの重要度と複雑さも加味して識別を行います。
統合ERPで一番のシェアをもつSAP(エスエーピー)のような複雑で全社にまたがるシステムであれば評価対象とします。
(統合ERPとは、企業全体の業務プロセスを一元管理し、財務、人事、在庫、販売などの部門横断的なデータをリアルタイムで共有・活用できるシステムのことです)
逆に重要なプロセスでも、担当者がExcelなどの表計算ソフトで作成していて単独のプロセスならばIT全般統制の対象としません。
- リスク評価
選定したシステムに関連するITリスクを特定すること、そしてリスクの影響度と発生可能性の評価を行います。
- ITリスクの特定
対象システムが自社開発システムである場合は、アカウントに関するリスク、プログラム変更リスク、データ変更リスク、保守管理のリスクなどをITリスクとして評価します。
対象システムがパッケージソフトであり、プログラム変更を自社では行えない場合には、自社開発の場合にあったプログラム変更リスクは対象外と評価します。
- リスクの影響度と発生可能性の評価
リスクの影響度の評価とは、どの程度の損害や支障をきたすのか分析し、定量的または定性的に判断することです。大中小などの3段階評価が経験上多く見られました。
リスクの発生可能性の評価とは、リスクが実際に発生する可能性や頻度を評価することです。年次(年1回)や月次、週次、日次、都度といった評価を行います。
- 統制活動の設計
リスク評価で識別されたリスクに対して、リスクを抑えるための統制活動を設定します。
例えば、プログラム変更リスクがあると識別されているのであれば、プログラム変更時の統制が必要であると判断します。
既存の統制を調査し、リスクが抑えられていると判断できる場合は、新たに統制を作る必要はありません。
リスクが抑えられていないと判断されたら、既存の統制を改善・更新するあるいは新規で作り直します。
- 統制活動の実施
作成した統制を業務プロセスに組み込みます。
実際の業務の中で運用することで、リスクに対応しているか、業務への負荷がどれほどかを判断します。
統制は関係者の合意を経て作成し、実際の業務に組み込みますが、必要に応じて関係者への教育・訓練を行います。
- モニタリングと評価
統制がリスクに対して効果を発揮しているかという統制活動の有効性を定期的に評価します。
評価の結果、有効でないと判断されたら改善・更新を行います。
また、リスクに対して効果を発揮しているものの、業務への過大な負荷が見られる場合にも改善を検討し、持続可能な統制になるように改善・更新します。
IT全般統制構築における注意点3つ
効果的なIT全般統制の構築には、以下の3点に注意が必要です。
- 組織の規模や業種に応じたカスタマイズ
- IT部門と他部門の連携
- 文書化の重要性
簡単に解説します。
- 組織の規模や業種に応じたカスタマイズ
一律の基準ではなく、自社の状況に合わせた統制レベルを設定します。
企業・業種によって重要とする基準が異なるのは当然です。
金融業界に求められるITのリスク基準は非常に高いものですが、これを製造業にそのまま当てはめても労力に見合う効果は得られないでしょう。
過剰な統制による業務効率の低下を避けるよう注意が必要です。
- IT部門と他部門の連携
IT全般統制はその名の通りITに強く関連しています。
ですが、IT部門のみに任せるのではなく、財務・経理・内部監査などの関連部門との連携、不都合・不具合の情報共有や改善提案・議論をするといった協力が不可欠です。
部門間のコミュニケーションを促進し、全社的な取り組みとして運用しましょう。
- 文書化の重要性
作成された内部統制は少人数しか関わることがないケースがありえます。
この時に文書化を行っていなければ属人的になり、人事異動等で知識が失われて継続的な運用ができないおそれがあります。
文書化することでルールを明示して、継続的に活用でき、監査への対応や改善へ利用できます。
統制は文書化し、適切に記録管理をしましょう。
これらの点に留意しながらIT全般統制を構築することで、より効果的で持続可能な内部統制環境を実現できます。
ITGCの具体的な項目例
評価するリスクと管理体制を例示すると下記になります。金融庁の例示列挙した4つの評価項目より詳細に分類しています。
| 評価項目 | 具体的な評価対象例 |
| アクセス管理 | アクセス権限の設定、ルール、パスワード設定 |
| プログラム変更管理 | プログラム変更のルール、テスト実施や本番環境への移送手続き |
| データ変更管理 | データベースに直接アクセスしデータ変更・削除を行う手続き |
| IT基盤管理 | データサーバの管理、機器・機材の管理 |
| 日常運用管理 | バッチ処理手続きやモニタリング手続き |
| 外部委託管理 | 外部委託先業者の評価や報告の受領手続き |
表記・表現方法は企業や評価者により異なるので、例えばプログラム変更管理とデータ変更管理をまとめて「変更管理」としている企業もあります。
金融庁の評価項目に寄せてまとめるなどの使い方で参照してください。
まとめ
本記事では、IT全般統制(ITGC)の概念、重要性、基本的な構成要素について解説してきました。
- IT全般統制の本質
- 財務報告の信頼性を支えるITシステムの基盤的統制
- J-SOX法令遵守のための重要な要素
- 組織全体のITリスク管理の基礎
- IT全般統制の主要な領域
- システムの開発・保守
- システムの運用・管理
- アクセス管理
- 外部委託管理
- 効果的なITGC構築の考え方
- リスク・アプローチによる優先順位付け
- 全社的な内部統制との整合性
- 継続的な改善と見直しの重要性
- ITGCの位置づけ
- IT全社統制(ITCLC)とIT業務処理統制(ITAC)との関係性
- 財務報告に関連するITシステム全体を対象とする包括的な統制
IT全般統制は、組織のIT環境を健全に保ち、財務報告の信頼性を確保するための重要な概念です。
本記事で得た基礎知識は、今後のITGC関連の学習や、実際の見直し作業に取り組む際の土台となるでしょう。
テクノロジーの進化とビジネス環境の変化に伴い、ITGCの重要性はますます高まっています。
本記事を適宜参照いただき、IT全般統制の理解と効果的な内部統制の構築に役立てていただければ幸いです。
参考資料・リソース
日本政府や関連機関のIT統制に関連する法規や基準に関する情報を確認できる公式ウェブサイトのリンクを以下に紹介します。
- 金融庁(J-SOXに関連)
金融商品取引法に基づく内部統制報告制度についての情報が掲載されています。
[金融庁の内部統制報告制度ページ](https://www.fsa.go.jp)
- 個人情報保護委員会
個人情報保護法に基づく指針やガイドライン、企業における対応の詳細について確認できます。
[個人情報保護委員会のウェブサイト](https://www.ppc.go.jp)
- サイバーセキュリティ基本法に関連する内閣サイバーセキュリティセンター(NISC)
サイバーセキュリティに関する基本的な政策やガイドラインを確認できます。
[内閣サイバーセキュリティセンター(NISC)](https://www.nisc.go.jp/)
これらのリンクから、IT全般統制(ITGC)に関連する日本の法規やガイドラインを詳細に確認できます。
当記事は以上になります。
最後までお読みいただきありがとうございました。
記事を読んだ感想、質問、疑問点あるいはご指摘事項がありましたら質問フォームにご記載ください。
可能な限りご回答させていただきます。
コメント