コラム
IT統制とは何か|上場を目指す企業向けに解説します
上場を目指す企業にとって内部統制やIT統制について理解を深めることは必要不可欠です。
なぜなら、上場会社には財務計算に関する書類やその他の情報の適正性を確保するために必要な体制に関する内部統制報告書を提出する義務があるからです。
簡単に言うと、内部統制が整備・構築されていないと上場できない、ということです。実際に、内部統制が不十分であったために上場できなかったケースもあります。
内部統制の中でも、会社経営に直結する財務会計に関してはどの企業も早々に対応しているのですが、「IT統制」については、そもそも何をすればよいのか分かっていなかったり、対応が遅れたりするケースが散見されます。
そこで本コラムでは「IT統制とは何か?」「何をしなければいけないのか?」という点を分かりやすい解説します。
弊社では上場を目指す企業向けにIT統制の整備・構築サポートをしており、無料相談を受けることも多いため、企業様からよく受ける質問についてもご紹介します。具体的な話しも含めてご紹介しますので、直前々期(N-2期)や直前期(N-1期)の企業で情報システムを担当される方はぜひご覧ください。
〈目次〉
IT統制とは?
IT統制の要素
内部統制とIT統制
IT統制に関するよくある質問
Q1.対応しなければいけない点が多々あることは理解しましたが、まず最初に何をすべきですか?
Q2.情報システム専属の社員がいません。システムに明るい社員がいないのですが、どうすればよいでしょうか?
Q3.外部の会社へ頼らず、自社の社員だけで対応することはできますか?
Q4.セキュリティリスクがあるため社内に設置してあるサーバーのクラウド化を検討しています。どういう点に気をつければよいですか?
Q5.IT統制の構築・整備のイメージはつきましたが、社内でどのように浸透させればよいか悩んでいます。
slack等のチャットツールで申請のワークフローを行ってもよいか?
IT統制とは?
まずはじめにIT統制の定義について簡単に解説します。
IT統制とは「ITに関するリスクを管理し、ITリスクに対してコントロールする仕組みを構築すること。また、構築は適切に運用されていること」です。
IT統制の要素
IT統制の構成要素としては3つ挙げられます。
①全社的なIT統制(IT全社的統制)
経営レベルでのコントロールのこと。
〈具体例〉
・中期IT化計画/年度計画策定
・情報システム責任者の設置
・情報セキュリティポリシーやIT関連の各種規程の制定 等
②IT全般統制
ITシステムの環境を保証するためのコントロールのこと。
〈具体例〉
・アクセス管理
・アカウント管理
・プログラム開発時の承認運用
・障害時運用 等
③IT業務処理統制
ITシステムを用いた業務を適切に行うためのコントロールのこと。
〈具体例〉
・受発注、支払い、仕訳等の承認機能の設定
・マスタデータの正確性確保 等
内部統制とIT統制
内部統制とIT統制の関係性としては、「内部統制にIT統制が含まれている」という位置付けになります。
内部統制とIT統制について、より詳細の内容を以前コラムで解説しましたので、さらに詳しく知りたい方はぜひご覧ください。
IT統制に関するよくある質問
弊社ではIT統制の整備・構築に関する無料相談を受けており、無料相談の中では様々なご質問をいただきます。その中でも、共通して悩まれている点がいくつかありましたので、よく受ける質問について解説していきます。
さらに詳しい内容をご相談したい企業様、現在の状況を踏まえてやるべきことを明確にしたい企業様がいらっしゃいましたら、無料相談を受けておりますので、ぜひご相談ください。
Q1.対応しなければいけない点が多々あることは理解しましたが、まず最初に何をすべきですか?
A1.
はじめに行うべきは、現状把握のためのシステム概要図作成とシステム導入計画(IT投資計画)の策定です。
これからIT統制を整備するために、まずは社内でどんなシステムが使われているのか、現状を把握する必要があります。そのために、社内のシステムを可視化した「システム概要図」の作成が必要です。システム概要図の書き方を問われることもあるのですが、決まった書き方はありません。社内全体のシステムを俯瞰して捉えられるように、パワーポイント1枚程度に収まる粒度で作成すれば十分です。
システム概要図を作成し現状把握した上で、どこに統制上の問題があるのか検討して、問題点を解決する手段として新たなシステム(業務システムに限らずネットワークやセキュリティ対策などのシステム含む)の導入を計画します。特に、IT統制で重要となる基幹システムの導入を計画する場合は「N-2期」には着手しておくと、その先のスケジュールに余裕が生まれます。
Q2.情報システム専属の社員がいません。システムに明るい社員がいないのですが、どうすればよいでしょうか?
A2.
IT統制に限らず、社内システム全般を担当する専任者を採用できればベストです。
ただ、優秀なIT人材は引く手あまたで、どの会社も採用には苦戦しています。また、優秀な人材は年収も高く、システムの導入経験がありアプリケーションからネットワークまで幅広い知識を持つエンジニアであれば年収は600万円以上にはなるでしょう。採用にかかる費用(年収の20〜30%)と、人件費を踏まえると、専任者の採用はハードルが高いため、総務部がシステムを担当し、足りない知識や経験は外部からの支援により補う形が現実的です。
外部からの支援であれば月に数十万円程度に抑えられますし、柔軟に稼働できる会社であれば、IT統制を整備する初期段階では稼働を多くして、ある程度整備ができてきたら稼働を少なくすることができます。外部の会社を選ぶ際は、経験や知識はもちろんのこと、柔軟に稼働できるかどうかも選定基準に入れておくと良いと思います。
Q3.外部の会社へ頼らず、自社の社員だけで対応することはできますか?
A3.
不可能ではありませんが、現実的には難しいと言えます。
理由としては、IT統制の対応に関する経験やスキルを持った人材が少ないためです。仮に採用するにしても、前述の通り、採用のハードルは高いです。システムの導入経験があり、アプリケーションからネットワークまで幅広い知識を持ち、かつIT統制整備・構築の経験があるエンジニアはほとんどいないのが実態です。
それでも社員で対応したい場合は、IT統制関連文書の作成や運用ルールの策定を社員で対応し、レビューアーやアドバイザーとしてIT統制の知見のある外部の会社からサポートを受ける方が安全に取り組めます。
Q4.セキュリティリスクがあるため社内に設置してあるサーバーのクラウド化を検討しています。どういう点に気をつければよいですか?
A4.
クラウド化するかどうかに関わらず、運用ルールを策定し、社内で周知徹底することが重要です。
その上で、クラウド化する際に注意すべき点は2点です。
1つ目はアカウント管理です。
IT統制では、監査法人からアカウントを適切に管理しているかどうか、追求されることが多いので、特に手厚く対応する必要があります。管理者権限を必要最低限の人へ与えているか、クラウドサービスでアカウント発行しやすいからといって社外の方にまで不用意にアカウント発行していないか、といった点は注意が必要です。
2つ目は、クラウドに置いたデータの共有方法をルール化することです。
クラウドのストレージサービスだと、リンクを発行することで簡単に外部の方とデータを共有することができます。簡単に共有できる一方で、ルールなく共有を行っていると、どこの誰と何を共有しているのかわからなくなってしまいます。既に取引が終わっている会社と継続的にデータが共有され続けてしまう、ということも起こりえます。
IT統制の整備という観点だけでなく、セキュリティリスクの観点からも運用ルールを策定し、徹底することをおすすめします。
Q5.IT統制の構築・整備のイメージはつきましたが、社内でどのように浸透させればよいか悩んでいます。
A5.
まず、対応しなければいけない背景から説明します。
社員の方々も、何となく内部統制やIT統制について認識はあるものの、どういう対策を行わなければいけないのか、対策をしないとどうなるのか、という点は意外と知らない方もいるからです。
そのため、規程の作成や運用ルールの整備をしないと上場できない、ということを社員の方々へ直接伝えるべきです。実際に内部統制が整備されておらず上場延期になった事例を説明してもよいでしょう。
あとは、形式的に対策するのではなく、できるだけ現場の負荷を減らすように対策していくことも重要です。いくら背景を伝えても、現場の負荷が高すぎる場合、運用ルールが守られず、形骸化した運用になってしまうからです。
例えば、システム導入やアカウント発行に関して承認プロセスを設ける場合、ワークフローシステムを使って簡単に申請できるようにする、申請承認の通知をslackで出してすぐに分かるようにする、といった工夫が必要です。
slack等のチャットツールで申請のワークフローを行ってもよいか?
結論から申しますと、おすすめしません。
slackはメッセージの編集が可能ですので、履歴を残すという観点から考えると、編集されていないことを証明する必要があり、かえって手間がかかってしまうからです。編集が可能ということは、例えば10万円で申請して承認を取った後で申請時に記載した金額を変更してしまうことができてしまいます。そのため、申請時から内容が変更されていないことを証明しなければいけません。
その手間を考えると、ワークフローのシステムを使った方が運用の負荷は低いため、slackでの運用はおすすめしません。
もしslackを活用したい場合は、申請や承認の通知をslackで行う程度が現実的です。
IT統制を統制の構築・整備だけでなく、レビューやアドバイスだけでもお受けしています
弊社で行うIT統制サポートは、通常IT統制の関連文書作成などを行いますが、企業様によっては既に規程が作成されていたり、文書作成は社員様で対応されるケースもあります。その場合は、レビューやアドバイスを行う形でもサポートしております。
弊社は柔軟な稼働が可能ですので、各企業様が必要とされる内容に応じて対応をさせていただきます。
「やることまで具体的に決まっていないけど話しだけ聞いてみたい」
「もう少しIT統制について質問したい」
こういったご相談にも無料で対応しておりますので、まずはお気軽にご相談ください。
内部統制・IT統制の事例紹介
キングソフト株式会社様|資料が分かりやすくこちらの要望を理解した上で柔軟に対応いただいた
【キングソフト株式会社様 内部監査室 中村室長】ボリューム感のある内容を依頼していましたが、すんなり進めていただきました。こちらが要望していることをきちんと理解していただいて、かつ、それが正しい形で返ってきていて、それが予算内に収まっているというところが、経営層と話をする立場として非常にありがたかったです。
株式会社ASNOVA様|コンサルの概念が覆された、こちらへ寄り添ってASNOVAメインの進め方をしていただけた
【株式会社ASNOVA 総務人事部 田中部長、口田係長】弊社の課題や”やりたいこと”と逆に”やらないこと”または”今後やりたいこと”に対して柔軟に提案してもらえたので、ぜひ一緒にやっていきたいと思いました。弊社の「できていること」「できていないこと」「今後やるべきこと」を第三者の視点からチェックしていただき、私たちが気づけていなかったことを知ることができました。
株式会社イノフィス様|同じチームメンバーとして技術面と精神面で支えられ、会社としてはメリット・デメリットを見極めた適切な IT 投資を実現
【執行役員 人事総務部長・松原様、人事総務部・渡邉様】全体を可視化し、課題を見極めた上でシステムを導入できるようになり、適切なIT投資ができています。IT統制は指摘事項がなにもなく監査を終えることができました。