日々、IT技術の活用が進んでいます。今までIT技術を活用していなかった企業でも、世間の流れに合わせてシステムのクラウド化を検討しなければならないというケースも多いでしょう。

企業ではIT技術の浸透に伴い、企業全体の情報に関する規程を制定しなければなりません。企業が大きくなればなるほど、従業員一人ひとりの動向を確認できないため、情報に関する規程を定めて統制を図っていく必要があります。

情報に関する規程は、一般的に「IT統制」と呼ばれています。IT統制は「IT全社的統制」「IT全般統制」「IT業務処理統制」の3つの実施基準が定められており、その中でもIT全社的統制が全体の枠組みとなるため、最初に抑えることで残りの実施基準を理解しやすくなるでしょう。


そこで今回は、IT統制の要素の1つである「IT全社的統制」について解説します。
　
〈目次〉
IT全社的統制とは内部統制に含まれる
　内部統制とは
　内部統制におけるIT全社的統制の位置づけ
IT全社的統制を構成する5要素
　1.ITに関する基本方針の作成と明示
　2.ITに関するリスクの評価と対応
　3.統制手続の整備と周知
　4.情報伝達の体制と仕組の整備
　5.全社的な実施状況の確認
IT全社的統制が不十分な場合
　
　

IT全社的統制とは内部統制に含まれる

　
IT全社的統制を理解するためには、内部統制について知っておかなければなりません。ここでは、内部統制の概要を解説し、内部統制とIT全社的統制の関係性について言及していきます。
　

内部統制とは

内部統制とは、企業でおこなう業務が適切かつ安全に実施されるための仕組みです。規模が大きい企業は、従業員の一人ひとりを監視することが難しいため、内部統制によって企業全体の統制を図らなければなりません。

内部統制については、下記の記事で詳しく解説しています。是非参考にしてください。

内部統制におけるIT全社的統制の位置づけ

企業全体のITに関する方針は、内部統制内にある「IT統制」で定められています。IT全社的統制は、IT統制を構成する3要素の1つです。IT全社的統制は、IT統制の中でも全体の枠組みを決める実施基準に該当するため、IT統制全体を支える基盤となります。

したがって、IT全社的統制は内部統制の中でもITに関する重要な役割を担っているのです。
　
　

IT全社的統制を構成する5要素

IT統制に含まれているIT全社的統制は、5つの要素によって構成されています。それぞれの要素に対応することで、企業のIT統制が図られるでしょう。

ここでは、それぞれの要素について解説していきます。
　

1.ITに関する基本方針の作成と明示

1つ目の要素は「ITに関する基本方針の作成と明示」です。

企業では、システムのクラウド化やリモートワークの普及により、今までよりもITの活用が進んでいます。ITの活用が進んでいくことに伴い、企業内のIT環境を整えるためにも、IT全般に関するあらゆる方針を明示する必要があります。

ITに関する基本方針として考慮すべき内容は、以下の通りです。

・ITに対して、会社の責任者がどのような考えを持っているのか
・企業でITを活用していくための戦略、導入に至るまでの計画、ITにかける予算などの策定と体制の整備
・従業員に対しておこなわれるITの教育や研修の方針
・従業員のIT知識や活用力
　
以上の内容について現状を分析し、適切な統制を図っていく必要があります。

具体的に作成する資料は、社内全体のIT方針を記載した「IT管理規程」や社内のセキュリティに特化した「情報セキュリティ規程」などが挙げられます。

作成した資料は、取締役会等での承認を経て社内で運用されていく形です。こうした規程を社内で明示するためには、社内のポータルサイトで周知したり、社内のメーリングリストで共有したり、ポスターを貼り出すなどの啓蒙活動を続けていく必要があります。
　

2.ITに関するリスクの評価と対応

2つ目の要素は「ITに関するリスクの評価と対応」です。

ITに関するリスクの評価と対応では、ITの導入により発生しうるリスクを想定し、適切な対応をしていかなければなりません。例えば、企業で新しいシステムを導入する場合に、情報流出を防ぐための仕組みを構築し、実際に起きてしまったときの対応を想定しておかなければならないのです。

仕組みを構築するにあたり、企業内でリスク評価の実施体制を整えておく必要があります。実施体制は、社内で公平な立場から評価できる「リスク管理部門」を立ち上げるのがおすすめです。リスク管理部門は、公平な立場からリスクの洗い出しと評価を行い、対応策を検討していきましょう。
　

3.統制手続の整備と周知

3つ目の要素は「統制手続の整備と周知」です。

統制手続の整備と周知では、経営者がIT統制を定期的に整備し、基本方針を社内で周知していかなければなりません。

ITは日々変化をし続けているため、変化に伴ってIT統制の内容も変えなければならないのです。例えば、新型コロナウイルスの影響でリモートワークを導入した企業では、リモートで作業するときのセキュリティ規程について定めなければなりません。

社外のネットワークから社内ネットワークにアクセスする必要が出てくるため、どの接続方法を推奨していくのかなどを制定しなければならないのです。

また、IT統制を定めたとしても従業員が認知し、実施していかなければ意味がありません。従業員が統制に従って業務をおこなっていくためにも、周知を徹底しておこないましょう。
　

4.情報伝達の体制と仕組の整備

4つ目の要素は「情報伝達の体制と仕組の整備」です。

情報伝達の体制と仕組の整備では、社内で情報を伝えるための手段を整備する必要があります。

例えば、セキュリティやIT統制に関する情報を社内で共有する場合、メールで通知したり、社内ポータルサイトで共有するなどの方法があります。ただ、共有する手段は企業によって最適な方法が異なるため、現在利用できるツールを元に考えるのが得策です。
　

5.全社的な実施状況の確認

5つ目の要素は「全社的な実施状況の確認」です。

全社的な実施状況の確認では、IT統制がうまく機能しているのかどうかを実施部門や監査部門からの報告を通じて確認・評価作業を実施します。確認や評価作業を「モニタリング」と呼ぶこともあります。

モニタリングの内容としては、部門ごとに取り扱っている機密性の高い情報を適切に管理しているのか、社内のセキュリティ環境が整っているのかなどの調査です。

モニタリングでは、ITを活用すると良いでしょう。活用の例としては、モニタリングの結果をクラウド上で管理する方法です。クラウド上の管理は、時間や場所を問わずにアクセスができるため、必要だと思ったタイミングで瞬時にモニタリング結果を確認できます。
　
　

IT全社的統制が不十分な場合

IT全社的統制が上手く機能していない場合、大規模な社内業務システムに影響が出てしまうケースがあります。
　
■銀行合併に伴うシステム統合で発生した大規模障害

例えば、銀行の合併でシステム統合を実施したときに、ユーザーに対して大きな影響を与えた大規模な障害があります。この事例では、IT統制を統率する立場である経営者が銀行の合併によって起こりうるシステムへの影響を十分に認識しておらず、統合方針が不完全であったためにシステムの不具合が生じました。本来であれば、システムを変更したことで既存のシステムにどのような影響を与えるのかを考慮したり、想定外の障害が発生したときの対応を明確に統合方針内へ定めておかなければならなかったのです。

大規模な障害によって、ATMが長時間利用停止になったり、振込機能が使えなくなったことで銀行業務に大きな影響が出てしまいました。銀行業務の停止により、企業が抱える財務報告の情報にも不備が生じてしまったのです。

今回紹介したケースでは、発生しうるリスクを想定できていなかった点と、リスク発生後の対応を方針内で明記できていなかったために大規模な障害につながってしまいました。

新たなシステムを導入する場合は、他システムへの影響を考慮した統合方針を明確に定め、ていかなければなりません。

内部統制・IT統制の事例紹介