Column

コラム

SCROLL
内部統制とIT統制の違いについて

内部統制とIT統制の違いについて

企業が大きくなればなるほど、社員一人ひとりの行動に目を向けられなくなってしまいます。その結果、企業の従業員が不祥事を働いてしまい、企業全体のイメージが下がって業績が落ちてしまうことも多く見受けられます。

こうした従業員の不祥事を防ぐために重要になるのが「内部統制」と「IT統制」です。2つに共通しているのは、企業内のルールを決めるということで、企業を運営していく上で避けては通れないものになります。

今回は、企業のルールを決める「内部統制」と「IT統制」の概要を説明しつつ、それぞれの関係性について解説していきます。
 
 

内部統制とIT統制の概要

 
内部統制とIT統制は、どちらも企業のルールを決めるものですが、それぞれの役割は異なっています。ここでは、それぞれの概要について解説していきます。
 

内部統制


内部統制は、企業が健全に事業をおこなうために必要な仕組みです。内部統制では、以下にある4つの目的を達成するために、さまざまな要素でルールを決めています。
 
・業務の有効性及び効率性
・財務報告の信用性
・事業活動等に関わる法令等の遵守
・資産の保全
 
まとめると、業務を効率的にこなしつつ、法令等を順守して信頼される企業を目指すために内部統制の仕組みがあります。

また、4つの目的を達成するためには、以下の6つの要素が必要です。

・統制環境
・リスクの評価と対応
・統制活動
・情報と伝達
・モニタリング
・ITへの対応
 
この要素の中でも、ITへの対応はIT統制と関係が深いです。IT統制については、次の項目で詳しく触れていきます。

もし、内部統制が機能していない場合、従業員は自分の思うがままに業務をおこなっていきます。その結果、本来やってはならないことをしてしまい、企業の社会的信頼を落とすことにつながる可能性も考えられるのです。

また、内部統制では従業員の立場に応じた適切な業務分担も定めています。役職や部署に応じて業務内容が変わるため、明確に定めておかないと業務が上手く回っていきません。

企業として正しい形で運営していくためにも、内部統制を上手く機能させるのが重要です。内部統制について詳しく知りたい方は、以下の記事を参考にしてください。

IT統制


IT統制は、内部統制の中でも情報システムに関して定めたものです。IT統制では、企業内の情報システムに関するあらゆるルールを決めています。

たとえば、企業にある機密情報をSNSなどの外部に流出するのを禁止するなどです。最近は、SNSを身近に扱えるがために、企業の機密情報が流出して社会的信頼性を落としてしまうケースが多く見られます。

最近では、三井住友銀行が委託していた企業の社員が、年収の診断をする目的でソースコードをGitHub上に無断公開する問題がありました。

GitHubは、全世界でソースコードを共有できるサービスで、不特定多数が対象のソースコードを閲覧できる状態だったのです。個人情報の流出はなかったものの、企業で管理する重要なソースコードになるため、非常に大きな問題となりました。

先述した例のように、さまざまな情報があふれている今の時代だからこそ、IT統制は非常に重要な役目を担っているのです。

IT統制では、以下にある3つの実施基準にしたがって統制を図っています。

・IT全社的統制
・IT全般統制
・IT業務処理統制

まとめると、企業にITを導入するにあたって、導入による効果を想定しながら適切に運用していきましょうということです。

詳しい内容については、下記の記事で解説しているので参考にしてください。

内部統制とIT統制の関係性

内部統制とIT統制の関係性

内部統制とIT統制は、内部統制の中にIT統制が含まれている関係性です。つまり、内部統制が企業のあらゆるルールを決めており、そのルールの中でも情報システムに関する部分がIT統制にあたるというわけです。

どちらか一方だけあればいいというわけではなく、内部統制とIT統制の両方が定められることで企業の統制を図れます。

それぞれの役割を理解し、お互いの目的が果たせるように機能させていきましょう。

なぜ、IT統制が必要か

なぜ、IT統制が必要か

IT統制が必要な理由には、大きく以下の3つがあります。

・業務を効率的にこなすため
・誤操作を防止するため
・権限に応じた利用をするため

それぞれについて解説していきます。
 

業務を効率的にこなすため


IT統制が必要な理由の1つ目は、ITシステムの導入によって普段おこなう業務を効率的にこなすためです。

システムは、こちらから指令を出せばその指令にしたがった業務をこなしてくれます。しかも、同じような作業を繰り返しておこなう場合、人間が手作業でおこなうよりもはるかに早いスピードで実施できるのです。

たとえば、あるデータを表にまとめるといった作業があったとしましょう。手作業でやる場合、キーボードで値を一件ずつ打ち込んでいき、件数分の処理をしていきます。数行であればそこまで時間はかかりませんが、100件を超えるデータを打ち込んでいくのは多くの時間を要するでしょう。

そこで、システムの導入で自動的に入力ができるようにしてあげれば、手作業でおこなうよりも非常に早く作業が終わります。効率化により捻出した時間を使い、他の業務に時間を割けられればより企業の発展に貢献していけるのです。

このように、手作業で行っていた作業をシステムに置き換えることで、今まで多くの時間を要していた作業が削減され、削減された時間を使って他の業務をこなせるようになります。
 

誤操作を防止するため


IT統制が必要な理由の2つ目は、システムを導入することで手入力による誤操作を防止するためです。

システムによって業務をおこなう場合、一度仕組みを作ってしまえば毎回同じような実行結果を得られ続けられます。したがって、データが変わらない限りは結果が変わることなく、日々の業務をこなせるのです。

たとえば、請求書を作る業務があったとしましょう。請求書を作る場合、毎月どの業者にどれだけの金額を支払ったのかを入力する必要があります。この金額の入力を手入力でおこなった場合、入力ミスによって別の業者の金額を入れてしまう場合があります。

その結果、本来請求すべき金額を請求していなかったり、二重に請求してしまうなどの可能性があるのです。そうならないためにも、システムに処理をさせることで、適切な業者に正しい金額を入力した請求書が作成できます。

ただし、業務の流れが変わったり、扱うデータの形式が変わった場合にはシステムの修正が必要になるので、改めて動作の検証をおこなう必要があります。
 

権限に応じた利用をするため


IT統制が必要な理由の3つ目は、システムの利用や情報を扱う際に、権限に応じた利用をするためです。

システムの利用や情報の閲覧は、役職に応じてアクセス権限を付与する必要があります。

たとえば、毎年おこなう従業員に対する評価シートがあったとしましょう。評価シートを閲覧できるのは、その部署で従業員を評価する課長や部長などの管理職になります。当然ながら、評価に関係ない人が別の人の評価シートを閲覧するのはプライバシーとしても良いことではありません。

こうした権限を適切に設定するためには、IT統制の中で定める必要があります。権限に応じた利用をすることで、情報の流出を抑止することにもつながります。

内部統制・IT統制の事例紹介

キングソフト株式会社様|資料が分かりやすくこちらの要望を理解した上で柔軟に対応いただいた

キングソフト株式会社様|資料が分かりやすくこちらの要望を理解した上で柔軟に対応いただいた

【キングソフト株式会社様 内部監査室 中村室長】ボリューム感のある内容を依頼していましたが、すんなり進めていただきました。こちらが要望していることをきちんと理解していただいて、かつ、それが正しい形で返ってきていて、それが予算内に収まっているというところが、経営層と話をする立場として非常にありがたかったです。

株式会社ASNOVA様|コンサルの概念が覆された、こちらへ寄り添ってASNOVAメインの進め方をしていただけた

株式会社ASNOVA様|コンサルの概念が覆された、こちらへ寄り添ってASNOVAメインの進め方をしていただけた

【株式会社ASNOVA 総務人事部 田中部長、口田係長】弊社の課題や”やりたいこと”と逆に”やらないこと”または”今後やりたいこと”に対して柔軟に提案してもらえたので、ぜひ一緒にやっていきたいと思いました。弊社の「できていること」「できていないこと」「今後やるべきこと」を第三者の視点からチェックしていただき、私たちが気づけていなかったことを知ることができました。

株式会社イノフィス様|同じチームメンバーとして技術面と精神面で支えられ、会社としてはメリット・デメリットを見極めた適切な IT 投資を実現

株式会社イノフィス様|同じチームメンバーとして技術面と精神面で支えられ、会社としてはメリット・デメリットを見極めた適切な IT 投資を実現

【執行役員 人事総務部長・松原様、人事総務部・渡邉様】全体を可視化し、課題を見極めた上でシステムを導入できるようになり、適切なIT投資ができています。IT統制は指摘事項がなにもなく監査を終えることができました。