コラム
IT統制とは?
昨今、企業の発展にはITの活用が必須となってきました。
ITの活用をするにあたり、企業でどのように取り組んでいくのかを決めていく必要があります。
こういった企業でのITに関する取り決めを「IT統制」と呼びます。IT統制は、企業でのITに関するルールとなるため、非常に重要なルールの一つです。
しかし
「IT統制はなんとなくわかるけど、具体的な内容まではわからない」
「IT統制の実施基準がどのようなものなのか気になる」
という方も多いのではないでしょうか。
当記事では、IT統制の概要と実施基準を解説します。今回を機に、社内のITに関するルールを見直してみてはいかがでしょうか。
IT統制の概要
IT統制とは、内部統制の中で情報システムに該当するものです。
内部統制については、下記の記事で詳しく解説しています。ぜひ参考にしてください。
内部統制とは?
内部統制は、企業の仕組みやルール作りを制定しているものです。一方、IT統制は企業のITに関するルールです。
最近流行っている、リモートワークについてもIT統制が適用されます。たとえば、リモートワークをするにあたって会社のパソコンを持ち帰るときに、プライベートのパソコンにデータを移さない、などの決まりがあるはずです。
会社のデータは、機密情報になるためこうしたルールを定めなければならないのです。そのほかにも、ITを通して業務の効率化が適切におこなわれているかどうかも重要になります。
情報化社会を迎えている昨今では、IT統制はきわめて重要になってきているのです。
IT統制のガイドラインや実施基準
IT統制には、以下にある3つの実施基準があります。
・IT全社的統制
・IT全般統制
・IT業務処理統制
それぞれの項目について解説していきましょう。
IT全社的統制
1つ目の実施基準は「IT全社的統制」です。
IT全社的統制とは、連結対象企業を含む企業全体に対して、健全かつ安全にITを構築し運用していくことを意味します。
IT全社的統制で整備すべき項目は、以下に定められています。
・経営者は、ITに関する適切な戦略、計画等を定めているか。
・経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
・経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
・ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリスクが考慮されているか。
・経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか。
(引用:システム管理基準 追補版 (財務報告に係る IT 統制ガイダンス) )
たとえば、社内に新しいITシステムを導入するとしましょう。経営者は、導入するシステムの概要を把握し、導入によって企業に与えるリスクも考慮しなければなりません。
経営者自身がITへの理解を示さず、現場任せの企業ではダメだということです。
ITを効率的に運用するためには、企業のトップである経営者が理解を示し、企業全体で取り組んでいくIT全社的統制の考え方が重要です。
IT全般統制
2つ目の実施基準は「IT全般統制」です。
IT全般統制とは、企業の経営に関わる業務体制を機能させるために、環境作りから実現していこうという考え方です。
IT全般統制の項目は、以下の通りです。
・システムの開発、保守に係る管理
・システムの運用・管理
・内外からのアクセス管理等のシステムの安全性の確保
・外部委託に関する契約の管理
「システムの開発、保守に係る管理」は、企業で利用されるプログラムの安全性を担保することです。たとえば、新しく導入するシステムを社内で作る場合、セキュリティを意識したコーディングをしたり、あらゆるパターンのテストを実施したりするなどの信頼性が重要になります。
「システムの運用・管理」は、稼働後も問題なく運用と管理が徹底される必要があります。とくに、未承認の処理や不正な処理を防ぐのが重要です。
「内外からのアクセス管理等のシステムの安全性の確保」は、ファイル権限やアクセス制限を適切におこなうことです。社内にあるファイルは、部門ごとにファイル権限をつけたり、危険性のあるサイトにアクセス制限をしたりする必要があります。
「外部委託に関する契約の管理 」は、プログラムの開発・運用・保守を外部委託する場合においても、プログラムとデータの信頼性を担保することです。社内の人員で足りない場合には、外部委託をする必要があります。外部委託をする場合も、自社と同じようにプログラムの安全性や信頼性の担保が重要です。たとえば、外部委託をするときには要件定義書をきちんと確認したり、テスト実施結果を共有してもらったりするなど、外部委託業者に任せっきりにしないことが大切です。
これら4つの項目を満たし、信頼性の高いシステム作りをしていきましょう。
IT業務処理統制
3つ目の実施基準は「IT業務処理統制」です。
IT業務処理統制とは、企業で承認された業務において、すべて正しく処理・記録されるために必要な業務プロセスを組み込むことを意味します。
業務処理統制は、企業の販売や購買に関わる業務で使用されるアプリケーションやシステムに組み込まれた統制です。アプリケーションやシステムは、ITによって自動化されたものと手作業によるもののどちらも含みます。
IT業務処理体制では、以下の統制を実施しています。
・入力管理
・出力管理
・データ管理
「入力管理」では、企業の取引データが適切な時間と内容で記録されることが統制目標です。たとえば、数量や単価で誤入力防止のために、プログラムの処理でエラーにして記録できないようにする、などの対応が必要になります。
「出力管理」では、記録された取引データを正しく出力するのを統制目標としています。多いケースとしては、情報システムで出力されたデータを元に、手作業で業務プロセスをおこなうケースです。正しい出力ができていない場合、手作業による業務プロセスが無駄になってしまうため、出力管理は重要です。
「データ管理」では、業務プロセスで利用されるマスタデータやマスタテーブルを常に最新にするのを統制目標としています。業務で利用するアプリケーションやシステムでは、マスタデータが存在するのがほとんどです。たとえば、企業で何かの部品を購入したときに、部品の単価がいくらなのか、どの業者から購入したのか、というマスタデータが必要になります。マスタデータが適切に管理されていない場合、すべての取引データの信頼性が担保されないため、常に最新にしておくのが重要です。
IT業務処理統制は、企業の会計に関わる部分になるので、社会的な信頼性を担保するためにも守るべき統制になります。
IT統制のモニタリング
IT統制は、企業で有効に機能しているかどうかを監視するためにモニタリングが必要です。モニタリングは、大きく2つに分類できます。
・日常的モニタリング
・独立的モニタリング
それぞれのモニタリングについて解説します。
日常的モニタリング
日常的モニタリングには、3つの役割があります。
・経常的なモニタリング
・定期的なモニタリング
・異常値モニタリング
経常的なモニタリングは、一定の間隔で実施されるもので、目標と実績との差をチェックするものです。ITを利用してモニタリングするため、目標と実績の差は即座に正確な測定ができます。
定期的なモニタリングは、定期的に企業で運用しているマスタデータの信頼性を確認することです。マスタデータはあらゆるデータに利用されるため、少しでも信頼性が落ちてしまうと、システム全体に影響を与えてしまいます。
異常値モニタリングは、あるデータにおける異常値を設定したり、発生を報告することです。異常値の設定は、経営層から管理層、そして現場に周知されます。一方で、異常値の発生については、現場から管理層、そして経営層へ報告されます。
独立的モニタリング
独立的モニタリングは、企業の内部監査部門や監査役によっておこなわれるものです。
IT統制の監査については、運用しているIT部門以外でおこなわれます。なぜなら、IT部門で不祥事が働いていた場合、定期的に別部署が確認しないと不祥事を見抜けないからです。
日常的モニタリングが正しく実施されている場合は、独立的モニタリングの実施頻度は減らせます。
内部統制・IT統制の事例紹介
キングソフト株式会社様|資料が分かりやすくこちらの要望を理解した上で柔軟に対応いただいた
【キングソフト株式会社様 内部監査室 中村室長】ボリューム感のある内容を依頼していましたが、すんなり進めていただきました。こちらが要望していることをきちんと理解していただいて、かつ、それが正しい形で返ってきていて、それが予算内に収まっているというところが、経営層と話をする立場として非常にありがたかったです。
株式会社ASNOVA様|コンサルの概念が覆された、こちらへ寄り添ってASNOVAメインの進め方をしていただけた
【株式会社ASNOVA 総務人事部 田中部長、口田係長】弊社の課題や”やりたいこと”と逆に”やらないこと”または”今後やりたいこと”に対して柔軟に提案してもらえたので、ぜひ一緒にやっていきたいと思いました。弊社の「できていること」「できていないこと」「今後やるべきこと」を第三者の視点からチェックしていただき、私たちが気づけていなかったことを知ることができました。
株式会社イノフィス様|同じチームメンバーとして技術面と精神面で支えられ、会社としてはメリット・デメリットを見極めた適切な IT 投資を実現
【執行役員 人事総務部長・松原様、人事総務部・渡邉様】全体を可視化し、課題を見極めた上でシステムを導入できるようになり、適切なIT投資ができています。IT統制は指摘事項がなにもなく監査を終えることができました。