【わかりやすく解説】IT統制とは？目的と社内への設計方法を紹介

執筆者：茅原淳一（Junichi Kayahara）

『資金調達の手引き』
調達ノウハウを徹底解説

資金調達を進めたい経営者の方の
よくある疑問を解決します！

今すぐダウンロード

企業の内部統制を実現するため、IT統制が求められています。今やITを使用せずに業務遂行している企業はほとんど存在しないため、内部統制を有効に実現するためにはIT統制が欠かせません。

そのため企業は企業内部のIT分野に関しても一定のルールを定めて、企業の業務適正化や不正防止に寄与させていかなければなりません。

しかし「IT統制という言葉を初めて聞いた」「IT統制の実施方法が分からない」という方も多いのではないでしょうか？

IT統制は構成要素や具体的な方法を理解して、順を追って社内に構築していくことが重要です。

この記事ではIT統制の概要や統制方法、IT統制を導入するプロセスについて解説していきます。企業の内部統制やIT関係者の方はぜひご覧ください。

IT統制とは

IT統制とは内部統制の1つで、ITに関するリスクを管理・コントロールする仕組みを構築・運用する一連の活動のことです。

金融庁は内部統制を達成するための1つの要素としてIT統制を構築することを企業に求めています。企業の内部統制を推進していくために、監査法人などに向けて「財務報告に係る内部統制の評価及び監査の基準」を公開しています。この中で、「IT（情報技術）への対応」という要素が挙げられており、よりいっそう企業にIT統制が求められるようになりました。

IT統制の理解を深めていくには、IT統制と内部統制との関係性を理解することが重要です。まずはIT統制の概要とIT統制が必要な理由について詳しく解説していきます。

内部統制を達成するための要素の1つ

先述した金融庁の「財務報告に係る内部統制の評価及び監査の基準」の中で内部統制の目的を達成するための要素として次の6つがあります。

内部統制の基本的要素
・統制環境
・リスクの評価と対応
・統制活動
・情報と伝達
・モニタリング（監視活動）
・IT（情報技術）への対応

これらは、それぞれ独立して存在するのではなく、内部統制という目的を達成するために、それぞれが連携しています。

例えば、
【他5つの要素に影響する「統制環境」として監査役・監査等委員会が機能的に動けるような体制を構築する】
【「リスクの評価と対応」を定めたうえで、「統制活動」を実施し】
【「情報と伝達」で取得した情報を適切に「ITへの対応」で管理する】

というように、それぞれが連携しています。現代の企業活動においては、あらゆる業務がITと関連しているため、内部統制を達成するためにはIT統制を欠かすことはできません。

監査役・監査役会・監査等委員会・監査委員会については、次の記事もご参照ください。
⇒監査役会設置会社とは？指名委員会等設置会社・監査等委員会設置会社との違いも解説
⇒監査委員会とは？指名委員会等設置会社に置かれる監査委員会の目的・役割・権限について解説

IT統制が必要な理由

効率的な業務運営を行いながら、企業がリスク管理していくためにIT統制は必要不可欠です。IT統制が必要になる3つの理由について詳しく解説していきます。

・業務の効率化のため
・エラーを防止するため
・従業員・役員の業務に合わせたアクセス権限をコントロールするため

業務の効率化のため

ITは企業の業務効率化に欠かすことができません。SaaSなど業務改善に寄与するシステムを活用することによって、普段人間の手で行う作業が非常に効率的になります。

データの入力や表の作成など、ある程度フォーマットが決まっており、同じ作業の繰り返しになるような作業は、ITを導入した方が圧倒的に早く正確性も高まります。

例えば、「表に数字を入力して集計していく」という作業は、人間が表に手で数字を記入するよりも表計算ソフトを使用した方が早く正確で、さまざまな方法の集計が可能になります。

これまで手作業で行っていた作業にITを導入することで、業務の効率化が図れるので、余った時間と省けた手間を他の作業に回せます。

エラーを防止するため

ITの導入はエラーの防止にも大きく寄与します。最初に作業用のフォーマットを作成したり、エラーを検知してアラートをあげるシステムを構築することで、手作業や反復作業を効率化することができます。

例えば、請求業務において、売上のデータから自動的に取引先ごとの売上を集計して、請求書へ反映させるシステムを作ることで、手間をかけずに正確な請求書を作成できます。

人間の手で請求書作成を行う場合には、請求書に計上する売上が漏れてしまったり、誤った金額を請求するなどのリスクがあります。

そのため、二重・三重に請求書の内容をチェックする会社も多いですが、ITを導入すれば、このようなエラーを防げるようになります。

従業員・役員の業務に合わせたアクセス権限をコントロールするため

社内の業務を効率的かつ階層的に遂行するためにはアクセス権限を適切にコントロールすることも非常に重要です。

例えば、人事関連の評価システムなどは、一定以上の管理職だけがアクセスできるよう、設定しておくことで部下が自分の評価を見たり、情報を改ざんするリスクを防ぐことが可能です。

システムの承認権限なども上長だけに付与しておくことで、一般従業員が重要なシステムを勝手に動かすリスクを低減できます。

責任のある人間だけが、一定の権限を持てるようにシステムやデータにアクセス権限を設けることによって、社内のリスクを管理し、効率的な業務運営が可能になります。

IT統制の3つの統制方法

IT統制は次の3つの統制方法へ細分化されます。どれか1つ欠けてもIT統制は構築できません。ここでは、3つの統制方法について詳しく見ていきましょう。

・IT全社統制
・IT全般統制
・IT業務処理統制

IT全社統制

IT全社統制とは、「財務報告に係る内部統制の評価及び監査の基準」の中でIT統制を達成するための要素として列挙されている6つの要素の中から、「ITへの対応」を除いた次の5つの要素の有効性を確保するための全社的な取り組みを指します。

・統制環境
・リスクの評価と対応
・統制活動
・情報と伝達
・モニタリング（監視活動）

例えば、次のような取り組みが挙げられます。

・ITに関する戦略や予算および計画などを策定する
・策定した計画や予算を関係者へ伝える
・IT戦略を有効に実行できる体制を社内に整備する
・ITに関する社内教育を実践する
・外部に対してセキュリティーポリシーを外部へ伝達する
・システムの監査を定期的に実施する

このように、「IT全社統制」とは、企業におけるITの統制が全体として有効に機能するような環境を保証するための仕組みのことを言い、ITに関連する方針や手続き、計画や戦略、情報システム自体など企業全体の情報システムに対しての統制になります。

IT全般統制

IT全般統制とは、業務システムが有効に機能する環境を保証するための次のような取り組みです。

・システムの開発、保守に係る管理
・システム運用と管理
・システムの安全性の確保・不正アクセス対策を含む社内外からのアクセス管理
・外部委託をする際の契約や委託先の管理

自社でシステム開発をする際には、開発段階から不正や誤謬がおきないよう開発し、管理しなければなりません。また、日常的に不正アクセス対策なども実施する必要があります。

さらに、外部委託する場合には、業務プロセスを安全に遂行できる委託先かどうかを慎重に検討しなければなりません。

IT全般統制とは、開発・管理・運用・委託などの各段階において、業務プロセスが安全かつ有効に機能するための取り組みです。

IT業務処理統制

IT業務処理統制とは、業務管理システムにて承認された業務が正確に処理・記録されることを確保するための取り組みです。このIT業務処理統制には、次のような取り組みがあります。

・入力された情報の完全性・正確性・正当性を確保するための統制
・マスターデータの維持および管理
・例外処理の設定
・システムの利用に関係する認証・操作できる領域とアクセスの管理

システムの入力内容やデータの保管場所など、人為的なミスがないよう上長による承認機能を設定したり、例外処理ができるようにする正確性を担保するための取り組みになります。

社内全体でIT統制を実施するための取り組みと、例外・エラーや誤謬を抑止するための取り組み、そして正確性を担保するための取り組みの全てを行うことでIT業務処理統制は機能します。

IT統制を構築する流れ

IT統制は次の流れで構築していきます。
①現状を把握する
②目標と現状のギャップを分析する
③IT統制環境を構築する
④評価・改善を実施する

ここでは実際に、IT統制を構築する流れを詳しく解説していきます、

①現状を把握する

まずは、社内のIT統制の現状を把握するために、次の2点を確認します。
・システム
・社内規程の整備状況や運用ルール

システムの確認においては、社内でどのようなシステムを使用しているのかを確認し、一覧にしていきます。システムの一覧を作成することで、社内でIT統制ができている領域を整理し、IT統制が行き届いていない領域を把握することができます。

また、ITの運用に関する社内規程が作成されているか、どのようなルールでITシステムが運用されているのかも確認します。

なお現状把握の際には、IT統制のチェックリストを使用するのがおすすめです。雛形も多数公開されているため、他社事例を参考にしてチェックリストを作成してみましょう。

②目標と現状のギャップを分析する

現状把握を行ったら、IT統制の目標と現状を比較して、そのギャップの分析を行います。

IT統制の目標とは3つの統制方法である「IT全社統制」「IT全般統制」「IT業務処理統制」の全てが完了している状態を指します。それぞれの統制方法の中で、不足しているものを1つ1つ洗い出していきましょう。

例えば、現在の業務遂行システムに承認機能がついていないのであれば「IT業務処理統制」に問題があります。

このように1つ1つ目標を設定し現状を分析して、ギャップを洗い出します。

③IT統制環境を構築する

目標と現状のギャップを洗い出したら、ギャップを埋めるためのIT統制環境を構築します。

④評価・改善を実施する

IT統制は、目標に到達するシステムへの更新を行うだけでは完了しません。システムを導入したら、そのIT統制への評価と更新を行っていくことで、より頑健なIT環境を構築することが可能です。

しかしながらシステムの導入当初から当該システムを従業員が使いこなし、有効に運用できることはあまり多くありません。

社内でシステムを運用して、運用上の問題点やオペレーション上の問題点を把握して、効率的な使い方やオペレーションをブラッシュアップしていくことで、IT統制はより強固なものとなっていきます。

そのため、IT環境を整備したからと言って、終わりにするのではなく、必ずIT環境整備後は定期的に評価と改善を行っていきましょう。

IT統制を担当する社内の部門

IT統制を担当する部門は基本的に次の2つのうちいずれかの部門で対応します。
・情報システム部門
・内部監査部門

情報システム部門

情報システム部門とは社内のシステムを開発し、管理する部門のことです。

システムの開発や管理を行う部門ですので、非常に高度な技術が求められます。また、最近はSaaSなど外部システムとの連携やデータベースの保守・運用も担当するので責任も重大な部署です。

自社でシステムの開発や管理を行う会社は情報システム部門が、社内のIT統制を担い、IT統制に不足している技術やシステムを補完していきます。

内部監査部門

内部監査部門とは、法律に準拠して社内の業務が遂行されているかどうかをチェックし、社内業務の適正化を指導する立場にある部門です。

内部監査部門が社内のIT環境に関して監査を行い、IT統制が構築できているか確認することもあります。

一定のIT関連の知識が必要になるうえに、全社的な社内のルールや就業規則なども熟知していなければなりません。

そのため社内の内規や法律に対する広範な知識と、ITの知識の両方が求められます。

IT全社統制などを実施する際には、IT以外の知識も豊富な内部監査部門が担うことで有効に機能するでしょう。

就業規則については、こちらの記事もご参照ください。
⇒就業規則の作成について｜就業規則の作成手順と記載事項・作成時の注意点も解説

IT統制において監査法人が注意を払うポイント

企業のIT統制に対して監査法人が注意するのは次の3点です。監査の際には具体的にどの点に注意すべきか、詳しく見ていきましょう。
・パスワード
・データ
・ビジネスプロセス

パスワード

ITシステムのパスワードにセキュリティ上の問題がないかを監査法人はチェックしています。社内で使用するシステムについては、パスワードに関する意識が次のように緩くなっている可能性があります。
・推測されやすい番号
・複数の従業員や部署に横断して共有されている
・パスワードの桁数が少ない
・長い間更新されていない

このようなパスワードを設定している会社は「IT統制ができていない」と判断されることがあります。

IT統制を強化していくために、「パスワードの桁数を増やし、英数字と大文字小文字と記号を混ぜたものに設定」し、「部署内でのパスワードの管理を徹底」し、「定期的にパスワードを更新」するようにしましょう。

データ

営業・開発や総務・労務のような企業活動全体の情報管理は、紙ベースから、サーバーやクラウドのようなインターネット上のシステムに企業活動に関するデータを管理する方法に移行し、ペーパーレス化が一般化しています。

そのためデータ管理についても監査法人がIT統制をチェックするうえでの重要なポイントとなっています。
・誤って削除されたデータが復旧できる状態か
・データへの不正アクセス対策は十分か

IT統制ではこのような点もチェックされるので、データの管理やバックアップ体制は前もって整えておきましょう。

ビジネスプロセス

業務プロセスの中で不正が行われないような設計になっているかという点がチェックされます。

例えば、取引先への発注システムにおいて、不正な発注が行われないように、発注を完了させる前には上長の承認が必要になるなどの機能が求められます。

監査では「ビジネスプロセスが健全かつ安全に機能するシステムか」という点もチェックされるので、不正防止対策を入念に立てておきましょう。

まとめ

ここまで、IT統制の概要や統制方法、IT統制を導入するプロセス・監査法人が注意を払うポイント・担当する社内の部門について解説してきました。

この記事が、内部統制の強化やIT統制を検討している経営者・役員・ガバナンス担当者のお役に立てば幸いです。

最後までお読みいただきありがとうございました。