ITを活用する機会が増えている中で、健全な事業活動を行うためにはIT統制を無視することはできません。特にIPOにおいては、その重要性が増しています。

本記事では、IT統制が何を求め、なぜ必要なのかについて解説します。また、それぞれの種類ごとの構成要素や進め方についても詳しく説明します。

さらに、内部統制との違いやIPOとの関係、日本での課題にも触れますので、ぜひご一読ください。

IT統制とは

業務でITと関わることをシステム化したり、ITに関するリスクを管理することです。ビジネスでITを活用する機会が増えていることから、IT統制は重要だと言えます。

IT統制と内部統制の違い

IT統制は内部統制のひとつです。

そもそも内部統制とはどのようなことを指すのでしょう。金融庁の資料では以下のように定義されています。

業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の４つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセス
引用元：財務報告に係る内部統制の評価及び監査の基準

内部統制は、目的達成のために以下6つの要素から構成されます。

• 統制環境
• リスクの評価と対応
• 統制活動
• 情報と伝達
• モニタリング
• ITへの対応

ITへの対応とは、IT環境への対応とITの利用及び統制のことです。

ITの利用及び統制について下記のようにまとめられています。

内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること、並びに組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させることをいう
引用元：財務報告に係る内部統制の評価及び監査の基準

IT統制は内部統制の要素の一部ですが、目的に違いがあります。

内部統制で求められること

では、IT統制の働きで目的が達成されると考えられている内部統制は何を求めているのでしょう。

• 業務の有効性及び効率性
• 財務報告の信頼性
• 事業活動に関わる法令等の遵守
• 資産の保全

上記が達成されていることを確かにするため、内部統制は業務に組み込まれます。

それぞれの目的は相互に関連していると見なされることから、詳細を読み解いていくと内部統制の求めることも分かります。

業務の有効性及び効率性

事業活動の目的達成のために高めるべきとされるものです。 

財務報告の信頼性

財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保することです。

事業活動に関わる法令等の遵守

事業活動に関わる法令その他の規範を守るよう促進します。 

資産の保全

資産の取得・使用・処分が、正当な手続き・承認をもって行われるようにします。

IT統制の必要性

業務効率化と、組織の信用を守るためです。

社内のITシステムが活用されないと、無駄な業務を削減できません。不要な作業を無くせないばかりか、増やしてしまい、結果、業務効率の低下を引き起こします。

人の手に頼っていると、誤りの見落としなどが懸念されます。重大なトラブルの要因になりかねません。

システムを活用していても、ルールが整備されていなければ、大きな問題が起こる可能性はあります。

例えば機密情報の取り扱いについて。扱う際のルールが作成・共有されていないと、故意か否かに関係なく、社外秘の情報が流出するリスクが想定されます。

ITシステムを活用するにあたり、ルールを作成して規則に則った運用が大切です。

IT統制の一般的な目標

内部統制に関する金融庁の資料に「組織目標を達成するためのITの統制目標」という項目があります。

以下が目標として挙げられています。

• 有効性及び効率性：情報が効果的・効率的に提供されている
• 準拠性：法令、社内規則、会計基準などに則って情報処理されている
• 信頼性：情報の正当性・正確性・完全性が担保されている
• 可用性：情報が必要な時に利用できる状態にある
• 機密性：権限者だけが情報を利用できる

IT統制の種類

IT全般統制（ITGC）とIT業務処理統制（ITAC）に分けられます。

IT全般統制（ITGC）

会計システムや在庫管理システムといった業務処理の基盤となるものです。

パスワードを用いたユーザー認証、ファイルの暗号化、データのバックアップなどを行います。

IT全般統制の構成要素

• システムの開発・保守に関する管理
• システムの運用・管理
• 内外からのアクセス管理などのシステムの安全性の確保
• 外部委託契約の管理

システムの開発・保守に関する管理とは、社内のITインフラの構築や導入前のテストなどを行うことです。

運用・管理では、ITに関する変更履歴を残したり、定期的にデータのバックアップをとります。

セキュリティ対策の強化、情報流出や不正アクセス対策などでシステムの安全性を確保します。

ITに関する業務を外部委託する場合、契約内容に問題ないことを確認した上で契約を結びます。外部委託契約の管理とは、契約締結までの業務のことです。

IT業務処理統制（ITAC）

個々の業務処理システムでデータを正しく、そして漏れなく入力・処理・出力できるようにするためのものです。

二重入力チェックなどを行います。

IT業務処理統制の構成要素

• 入力情報の正確性・完全性・正当性などの確保
• エラーの修正と再処理
• マスタ・データの維持管理
• システムの利用に関する認証とアクセスの管理

入力情報に誤りがないことをチェックする体制により、正確性・完全性・正当性などを確保します。

ミスを発見次第すぐに修正できる仕組みも必要です。

マスタ・データとは業務に必要な蓄積・保存されたデータのことです。特に重要度の高いデータであることから、バックアップをとるなどで慎重な管理が求められます。

誰もがシステムに変更を加えられる権限を与えられると、人為的ミスによってシステムに不具合が生じる恐れがあります。大きなトラブルを防ぐため、システムへのアクセス権限を持つ人を限定することが重要です。

日本におけるIT統制の課題

会社独自のシステムを利用していることが多いのは、日本ならではです。部署ごとに異なるシステムを使用している例も少なくありません。

結果、業務に必要な情報を精査したり活用したりするハードルが上がっています。

システム開発は専門的な仕事です。故に、オリジナルのシステムだと開発者の退職に伴い、システムの全容が分からず使えないという事例は珍しくありません。

IPOとIT統制の関係

IPOとは株式市場に初めて株式を公開することです。「新規株式公開」とも呼びます。

IT統制はIPOの際にも重要なものと考えられています。

例えば財務情報の公開。公開した情報が信頼できるものであるために、システムを用いて適切にデータを管理することなどが求められます。

IPOに向けたIT統制への対応

• データを管理するためのシステムの用意
• データのバックアップ
• データの暗号化といったセキュリティ対策　など

IT統制を担当する部門とその役割

情報システム部門と内部監査部門がIT統制を担うことが多いです。

情報システム部門

ITに関する専門知識を持つ従業員で構成されます。

社内のITインフラの開発・運用・管理を行います。

内部監査部門

社内で開発したインフラの監査を行う部門です。自社の目標や戦略に沿って運用されているかチェックします。

内部監査とITどちらの知識も求められます。

IT統制の実行方法

1. IT統制のルールや現状把握
2. 運用ルールの見直し
3. モニタリング
4. 定期的な評価と改善

IT統制では何かしらのシステムを使うことを前提としています。データを扱うこともあり、使用におけるルールが必要になるはずです。既に用意されたマニュアルなどが周知・活用されているかチェックしましょう。

既存のシステムについても確かめます。

現状把握できたら、システムを問題なく活用できるよう、そして、IT統制の目的達成のための仕組みや体制に則したルールを整備します。

システムや体制が最新の状況・法令に適合しているか確かめることで、更新の必要なシステムなどを見落とさずに済みます。

IT統制のためのルールが守られないとシステムが適切に使われず、結果、IT統制が働いていない状態となるかもしれません。システムなどの状態を確かめると同時に、ルールが守られているかも確認しましょう。

守られていない項目に関しては守られない原因を突き止め、改善に取り組みます。

まとめ

ITシステムの効果的な活用は、リスク管理の重要な要素です。内部インフラの構築や管理を通じて、業務効率化や組織の信頼確保に取り組みます。

しかし、現状を把握しない限り、導入されたシステムが適切であり、IT統制の目的を果たすための仕組みやルールが遵守されているかどうかはわかりません。そのため、現在の課題を考慮し、定期的な監査を行い、必要に応じて改善を行うことで、IT統制が機能することが重要です。