IT統制とは？内部統制との関連性や構成要素・運用方法について解説

上場準備・上場企業にとって避けて通れない概念の一つに、「IT統制」があります。
しかし実際にIT統制をおこなおうと考えたところで、「どのように推進すればよいのか」と悩む担当者も少なくありません。

そこで本記事では、「IT統制」の概要や重要性、実際の運用方法などをご紹介します。
特に上場準備・上場企業で監査対応などを担当されている方は、最後までぜひご一読ください。

contents ・IT統制とは
・内部統制とIT統制の関係性
・IT統制の重要性
・IT統制 3つの種類
・IT統制を担当する部門
・IT統制の進め方
・IT統制で活用できる、IT資産管理ツールSS1！
・まとめ

IT統制とは

IT統制とは、組織内に存在するITシステムを安全かつ効率的に運用する活動を指します。
いまや組織活動にITの存在は欠かせません。ITシステムは、製造・会計・販売といったビジネスの基盤を支える領域の大部分を担っています。

ただ、ビジネスの根幹をITシステムが握っているということは、ITに対するリスクがそのまま組織のビジネスリスクに直結してしまうという意味でもあります。
よって、ITシステムの安全な運用をおこなうための「IT統制」は、組織にとって必要不可欠な要素といえるのです。

内部統制とIT統制の関係性

IT統制と似たような言葉で、「内部統制」というものがあります。実は、IT統制は内部統制を構成する要素の一つです。

内部統制とは、組織の業務において不正／不法な行為などがおこなわれないように業務手続きを定め、それを適切に運用していく活動をいいます。

金融庁が公開している「財務報告書に係る内部統制の評価及び監査の基準」では、内部統制を構成する6つの基本的要素が定められていますが、IT統制はこのうち「ITへの対応」に当てはまる概念です。

参考

財務報告書に係る内部統制の評価及び監査の基準

IT統制の重要性

上述の文書において、「ITへの対応（IT統制）は、他の要素と必ずしも独立するものではない」とされています。

一例として「情報と伝達」では、必要な情報が組織内外の関係者へ正しく伝えられる状態を確保することを目的としていますが、この場合の「情報」の多くはデータ化されたものであり、適切な人物への情報伝達はITシステムが担うことになるでしょう。

「モニタリング」の要素でも同様のことがいえます。内部統制がきちんと有効に機能しているのかどうかを確認するための手法として、業務上取り扱ったデータの操作履歴の取得および監査が挙げられますが、これはログ管理システムなどを用いて実現するのが一般的です。

このように、各要素の実現にはITシステムが密接にかかわってくることから、IT統制は内部統制を実現するための重要な一角を担っていると考えられます。

IT統制 3つの種類

では、IT統制の具体的な内容について深堀していきましょう。

IT統制には、①IT全社統制 ②IT全般統制 ③IT業務処理統制の3種類が存在します。
これらの要素を整備することで、「組織において適切にIT統制がなされている状態」を実現できるのです。

IT全社統制

「IT全社統制」とは、内部統制を構成する6つの要素のうち、ITへの対応を除いた5要素について有効性を確保するための全社的な取り組みのことです。
経営者目線での統制ともいえ、ITに関連する戦略の策定や、セキュリティポリシーの制定などが具体例として挙げられます。

■IT全社統制の取り組み例
・IT戦略の策定
・従業員に対するIT教育
・セキュリティポリシーの制定
・システム監査の実施

IT全般統制

「IT全般統制」は、組織内にある業務システムが正常かつ有効に機能する環境を整える取り組みを指します。
後述する「IT業務処理統制」が有効に作用するための仕組みづくりであり、組織全体のITインフラの構築／保守／整備などが該当します。

■IT全般統制の取り組み例
・業務システムの開発／保守運用
・業務システムに対する不正アクセス対策
・IT資産管理

IT業務処理統制

組織内で運用している個々の業務システムに対し、適切な運用をおこなう取り組みが「IT業務処理統制」です。

IT業務処理統制においては、それぞれのシステム上でデータが正しく入力され、かつ不正やヒューマンエラーによる誤びゅうが生じないようにすることが重要視されます。よって、各システムのセキュリティ機能の活用や、業務プロセスの整備などが主な施策内容となります。

■IT業務処理統制の取り組み例
・システム単位でのアクセス認証
・入力データの正確性、正当性を担保するためのチェック機能の活用
・第三者による承認フローの導入
・数値の自動計算、検算機能
・マスタデータ管理（バックアップの取得など）

IT統制を担当する部門

IT統制は、主に「情報システム部門」と「内部監査部門」が担当します。
この二つの部門は、IT統制に対しそれぞれ別の視点から働きかけることで、互いの長所・短所を補完しあう関係となっています。

各部門の役割は以下の通りです。

情報システム部門

情報システム部門は、主にITインフラの構築／保守運用を担っています。その一環として業務システムの開発や管理をおこなうことから、IT統制における中心的な存在です。

情報システム部門の担当者は、ITに関する専門的な知見から、あらゆるリスクを念頭に置いたセキュアなシステムを構築します。よって、業務システムの仕様や周辺環境について深い理解があるという点が長所だといえるでしょう。

一方で、自らが構築したシステムであるゆえに第三者目線での監査がおこなえなかったり、全社的なIT戦略や社内規則と各業務システムの機能要件とのバランス調整が難しかったりという難点があります。

内部監査部門

内部監査部門は、業務が法令に則って遂行されているのかを指導する立場であることから、多くの場合組織において独立した存在です。
情報システム部門が苦手とする第三者視点での監査実行や、IT戦略をはじめとした全社的なルールやポリシーとのバランス調整の能力に優れています。

ITシステムに対して監査をおこなう関係上、内部監査部門の担当者にも一定のIT知識が必要です。同時に、組織内の規定に関しても精通している必要があるため、より広範な領域に対する理解が求められます。

しかしながら、ITに関する領域でいえば情報システム部門の経験や知識量にはどうしても劣るため、そういった知識が必要な場合には情報システム部門の知見を借りることでカバーします。

このように二つの部門が互いを補いあうことで、IT統制を適切に推進することが可能です。

IT統制の進め方

実際にIT統制を進める際には、以下のステップに沿って環境の構築・評価・改善をおこなう必要があります。

■IT統制の進め方
①現状把握
②環境構築
③施策評価・改善

現状把握

まずはじめにおこなうべきことは、現状の把握です。現在組織で保有しているIT資産や、利用している業務システムをすべて洗い出しましょう。
加えて、それらに関連した運用ルールについても改めて見直す必要があります。

IT統制の現状把握をおこなう際は、チェックリストなどの活用が有効です。第三者機関が配布しているものや、金融庁から「事例」として公開されているものもあります。こうしたドキュメントを利用しつつ、目標と現状のギャップを把握しましょう。

参考

内部統制報告制度に関する事例集

環境構築

目標との差異が明確になったら、それを埋める工程に入ります。前項でまとめた内容をもとに、環境構築のための計画を立て、IT全般統制・IT業務処理統制などの整備を進めましょう。

外部攻撃を招く脆弱性や、不正行為に対するリスクが発見された場合は、それらを防止するための対策を検討します。

また、社内規定の内容が不十分である場合にはルールの改定も必要です。組織としてのビジネス目標と実際の業務プロセス、達成されるべきIT統制の理想像を加味したうえで、新たな規定を作成します。

施策評価・改善

環境構築をおこなったあとは、定期的に施策の効果測定と改善を実施します。

「IT統制を優先して導入したシステムや社内ルールが、実際の業務プロセス遂行の妨げになってしまった」というのはよく聞かれる話です。厳しすぎるルールや使いづらいシステムは形骸化してしまう恐れがあります。

現場の運用状況も鑑みつつ、効果的な施策となるように改善を繰り返しましょう。

IT統制で活用できる、IT資産管理ツールSS1！

IT統制を実際におこなおうにも、どこから手をつけてよいか分からない...という方は多くいます。なぜなら、内部統制やIT統制についてはあくまでも基本的な指針が示されているのみであり、具体的な実施項目については各組織で検討しなければならないからです。

IT統制の実現に向けた第一歩にお悩みであれば、まずはIT資産管理ツールSS1/SS1クラウドを導入することをおすすめします。
IT資産管理ツールでは、組織内に存在するIT資産の所在や利用状況などを自動で収集し、台帳化することが可能です。前述のIT統制のステップのうち、「現状把握」にお使いいただけるようになっています。

またSS1/SS1クラウドは、PCでおこなわれる各種操作履歴についてもログとして取得可能です。そのほかソフトウェア管理機能などを用いて適切なライセンス監査を実施することで、コンプライアンスを遵守するという面でも役立てられます。

製品の詳細や各機能については、下記のリンクをご参照ください。

参考

SS1の製品サイトはこちら

SS1クラウドの製品サイトはこちら