IT統制とは?
更新:2023年11月30日
目次
1.IT統制とは
IT統制とは、ITに関するリスクを管理し、ITリスクを適切にコントロールする仕組みを構築し運用するための活動のことです。
IT統制で行うべきことを理解するためには、まず内部統制とIT統制の関連性について理解する必要があります。金融庁が公表する「財務報告に係る内部統制の評価及び監査の基準」によると、内部統制の4つの目的を達成するために6つの基本的要素があり、そのうちの一つに「ITへの対応」が挙げられています。
【関連コラム】 内部統制とは?4つの目的・6つの基本的要素から上場準備との関係を解説
「ITへの対応」は、他の基本的要素と独立して存在するものではなく、内部統制の目的を達成するために不可欠な要素として存在します。例えば、「情報と伝達」において、把握した情報をITシステムで一元管理し社内で周知するといったように、「ITへの対応」は他の要素とも深く関連しています。現在、ほとんどの企業がITシステムなしで業務を遂行することは困難ですので、内部統制の目的を達成するために必要不可欠な要素がITへの対応であり、IT統制であると言えます。
つまり、内部統制における重要な一要素としてIT統制がある、ということです。
▲内部統制4つの目的を達成するために必要な6つの基本的要素のうちの1つが「ITへの対応」
IT統制で行うべきことを理解するためには、まず内部統制とIT統制の関連性について理解する必要があります。金融庁が公表する「財務報告に係る内部統制の評価及び監査の基準」によると、内部統制の4つの目的を達成するために6つの基本的要素があり、そのうちの一つに「ITへの対応」が挙げられています。
出典:金融庁「財務報告に係る内部統制の評価及び監査の基準」
- ① 統制環境
- ② リスクの評価と対応
- ③ 統制活動
- ④ 情報と伝達
- ⑤ モニタリング(監視活動)
- ⑥ IT(情報技術)への対応
【関連コラム】 内部統制とは?4つの目的・6つの基本的要素から上場準備との関係を解説
「ITへの対応」は、他の基本的要素と独立して存在するものではなく、内部統制の目的を達成するために不可欠な要素として存在します。例えば、「情報と伝達」において、把握した情報をITシステムで一元管理し社内で周知するといったように、「ITへの対応」は他の要素とも深く関連しています。現在、ほとんどの企業がITシステムなしで業務を遂行することは困難ですので、内部統制の目的を達成するために必要不可欠な要素がITへの対応であり、IT統制であると言えます。
つまり、内部統制における重要な一要素としてIT統制がある、ということです。
▲内部統制4つの目的を達成するために必要な6つの基本的要素のうちの1つが「ITへの対応」
2.IT統制の種類(IT全社的統制とは、IT全般統制(ITGC)とは、IT業務処理統制(ITAC)とは)
「財務報告に係る内部統制の評価及び監査の基準」において、内部統制の目的を達成するための基本的要素の一つである「ITへの対応」は、「IT環境への対応」「ITの利用」「ITの統制」から構成されると定義されています。
IT環境への対応およびITの利用を行うための仕組みとしてIT全社的統制があり、ITの統制を行うための仕組みとしてIT全般統制(ITGC)およびIT業務処理統制(ITAC)があります。
IT統制はこれら3つから構成されます。
それぞれの詳細について解説します。
ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいう。
ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。
ITへの対応は、IT環境への対応とITの利用及び統制からなる。 出典:金融庁「財務報告に係る内部統制の評価及び監査の基準」
IT環境への対応およびITの利用を行うための仕組みとしてIT全社的統制があり、ITの統制を行うための仕組みとしてIT全般統制(ITGC)およびIT業務処理統制(ITAC)があります。
IT統制はこれら3つから構成されます。
- ・IT全社的統制:経営レベルでのコントロール
- ・IT全般統制(ITGC):ITシステムの環境を保証するためのコントロール
- ・IT業務処理統制(ITAC):ITシステムを用いた業務を正確に行うためのコントロール
それぞれの詳細について解説します。
2-1.IT全社的統制
内部統制における基本的要素から「ITへの対応」を除いた5つ(統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング)に対して、有効性を確保するための取り組みがIT全社的統制です。ITを有効かつ効率的に利用するためには、全社的な取り組みとして対応する必要があります。
全社的な取り組みとして、具体的には以下の点が挙げられます。
全社的な取り組みとして、具体的には以下の点が挙げられます。
- ・戦略的かつ計画的にITの導入や管理を行うためにITに関する戦略、計画、予算等を策定する
- ・IT戦略や年度計画を関係者へ伝達する
- ・IT戦略を実行できる体制を整備する
- ・社内でITに係る教育や研修の方針を策定する
- ・ホームページ等で組織外部に対してセキュリティポリシー等を公開する
- ・定期的なシステム監査を実施する
2-2.IT全般統制(ITGC)
業務プロセスにおける不正や誤謬を防ぐための仕組み(業務処理統制)が、有効に機能する環境を保証するための取り組みがIT全般統制(ITGC)です。
環境を保証する取り組みとして、具体的には以下の点が挙げられます。
【関連コラム】 IT全般統制(ITGC)とは?
環境を保証する取り組みとして、具体的には以下の点が挙げられます。
- ・システムの開発、保守に係る管理(各工程でのレビュー・承認、必要な文書作成等)
- ・システムの運用・管理(プログラム変更時の手続きや運用ルール等)
- ・内外からのアクセス管理などシステムの安全性の確保
- ・外部委託に関する契約の管理
【関連コラム】 IT全般統制(ITGC)とは?
2-3.IT業務処理統制(ITAC)
業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するための取り組みがIT業務処理統制(ITAC)です。
正確に処理、記録されるための取り組みとして、具体的には以下の点が挙げられます。
【関連コラム】 IT業務処理統制(ITAC)とは?IT全般統制との違い、具体例、対応のポイントを解説
正確に処理、記録されるための取り組みとして、具体的には以下の点が挙げられます。
- ・入力情報の完全性、正確性、正当性等を確保する統制(承認機能の設定有無等)
- ・例外処理(エラー)の修正と再処理
- ・マスタ・データの維持管理
- ・システムの利用に関する認証、操作範囲の限定などアクセスの管理
【関連コラム】 IT業務処理統制(ITAC)とは?IT全般統制との違い、具体例、対応のポイントを解説
3.IPOに向けたIT統制への対応ポイント
では、IPOに向けてどのようにIT統制への対応を行えばよいのでしょうか。
IT統制の構築と、評価・改善の2段階の対応が必要です。
IT統制の構築と、評価・改善の2段階の対応が必要です。
3-1.IT統制の構築
まず実施すべきは現状把握です。
現在、IT統制への対応がまったくできていない状況なのか、あるいは一部だけは対応できている状況なのか、どこまでIT統制の対応ができているのかを正確に把握する必要があります。なぜなら、現在地が分からないと、目標地までの道のりが分からないからです。
なお、現状把握では大きく「システム」と「業務・ルール」の2点を確認します。
システムにおいては、現在社内で利用しているシステムをすべて把握します。会計システム、販売管理システム、営業支援システム、チャットツール等、社内には様々なシステムが存在します。まずはそれらを一覧化します。
業務・ルールにおいては、社内規程の整備状況および主要な事業における業務の大まかな流れを把握します。例えば、業務分掌が明確に定義されているのか、受注時に上長の承認を行うような業務プロセスになっているのか、といった点を確認します。
現状把握として、IT統制の対応状況を確認するために、以下のようなチェックリストを活用することもお勧めです。
▲エッグシステム社作成 「IT統制チェックリスト」(一部抜粋)
【IT統制チェックリストを活用した事例】2022年4月上場・株式会社ASNOVA様のIT統制構築方法は?
現状把握が終わった後は、目指すべき状態とのギャップを分析します。目指すべき状態とは、「全社的なIT統制」「IT全般統制(ITGC)」「IT業務処理統制(ITAC)」をすべてクリアしている状態です。
現状と目指すべき状態とのギャップが、そのまま対応すべき事項となります。
例えば、現在利用している基幹システムはコスト重視で選定したため承認機能やログ監査等の機能がなくIT統制に対応できていない、ということが判明した場合は基幹システムのリプレイスが必要です。当然ながら、新たに導入する基幹システムはIT統制に対応したものを選定しなければいけません。
このように、現状を把握し、目標とのギャップを分析して対応することでIT統制環境を構築します。先述のとおり、システムのリプレイスが必要となる可能性もあり、特に基幹システムのリプレイスは1年近い期間を要することもありますので、N-2期にはIT統制環境の構築へ着手することが望ましいと言えます。
【関連コラム】 2021年IPO企業の半数以上が導入する業務システムの実力。コロナ禍が求めるシステムを提供し広く全国でIPO準備企業を支援
現在、IT統制への対応がまったくできていない状況なのか、あるいは一部だけは対応できている状況なのか、どこまでIT統制の対応ができているのかを正確に把握する必要があります。なぜなら、現在地が分からないと、目標地までの道のりが分からないからです。
なお、現状把握では大きく「システム」と「業務・ルール」の2点を確認します。
システムにおいては、現在社内で利用しているシステムをすべて把握します。会計システム、販売管理システム、営業支援システム、チャットツール等、社内には様々なシステムが存在します。まずはそれらを一覧化します。
業務・ルールにおいては、社内規程の整備状況および主要な事業における業務の大まかな流れを把握します。例えば、業務分掌が明確に定義されているのか、受注時に上長の承認を行うような業務プロセスになっているのか、といった点を確認します。
現状把握として、IT統制の対応状況を確認するために、以下のようなチェックリストを活用することもお勧めです。
▲エッグシステム社作成 「IT統制チェックリスト」(一部抜粋)
【IT統制チェックリストを活用した事例】2022年4月上場・株式会社ASNOVA様のIT統制構築方法は?
現状把握が終わった後は、目指すべき状態とのギャップを分析します。目指すべき状態とは、「全社的なIT統制」「IT全般統制(ITGC)」「IT業務処理統制(ITAC)」をすべてクリアしている状態です。
現状と目指すべき状態とのギャップが、そのまま対応すべき事項となります。
例えば、現在利用している基幹システムはコスト重視で選定したため承認機能やログ監査等の機能がなくIT統制に対応できていない、ということが判明した場合は基幹システムのリプレイスが必要です。当然ながら、新たに導入する基幹システムはIT統制に対応したものを選定しなければいけません。
このように、現状を把握し、目標とのギャップを分析して対応することでIT統制環境を構築します。先述のとおり、システムのリプレイスが必要となる可能性もあり、特に基幹システムのリプレイスは1年近い期間を要することもありますので、N-2期にはIT統制環境の構築へ着手することが望ましいと言えます。
【関連コラム】 2021年IPO企業の半数以上が導入する業務システムの実力。コロナ禍が求めるシステムを提供し広く全国でIPO準備企業を支援
3-2.IT統制の評価・改善
IT統制環境を構築できたら終わりではなく、評価・改善が必要です。
社内リソースの問題等により、一度にすべてを対応することは現実的には難しいと考えられますので、評価・改善をしながらIT統制環境をより強固なものにしていきます。
また、規程を作成し運用ルールを定めたものの、実際に運用してみると現場への業務負荷が高く、継続的に運用していくのが困難だと判明することもあります。IT統制環境の構築と業務効率性はトレードオフの関係にあるケースがあるためです。
IT統制への対応を優先にするあまり、厳しすぎる運用ルールを定めた結果、現場では誰もその運用ルールを守らない、となってしまっては本末転倒です。そのため、実際に現場で運用できるかどうかという視点でも評価・改善を行う必要があります。
IT統制の環境構築をN-2期からN-1期にかけて行う場合、IT統制の評価・改善はN-1期からN期にかけて実施することが望ましいと言えます。
▲IT統制の構築スケジュール
社内リソースの問題等により、一度にすべてを対応することは現実的には難しいと考えられますので、評価・改善をしながらIT統制環境をより強固なものにしていきます。
また、規程を作成し運用ルールを定めたものの、実際に運用してみると現場への業務負荷が高く、継続的に運用していくのが困難だと判明することもあります。IT統制環境の構築と業務効率性はトレードオフの関係にあるケースがあるためです。
IT統制への対応を優先にするあまり、厳しすぎる運用ルールを定めた結果、現場では誰もその運用ルールを守らない、となってしまっては本末転倒です。そのため、実際に現場で運用できるかどうかという視点でも評価・改善を行う必要があります。
IT統制の環境構築をN-2期からN-1期にかけて行う場合、IT統制の評価・改善はN-1期からN期にかけて実施することが望ましいと言えます。
▲IT統制の構築スケジュール
4.まとめ
IT統制の定義からIPOに向けて行うべき具体的な内容まで解説いたしました。
IT統制は内部統制の中で重要な一要素であることを理解いただけたのではないかと思います。
IPOするためには内部統制およびIT統制への対応は必須です。内部統制への対応ができていないと、最悪の場合、内部統制監査をクリアできないという事態にも陥ります。
IT統制環境の構築には、社内インフラの整備・社内ルールの整備・基幹システムのリプレイスなどの会社全体に影響を及ぼす取り組みが多く含まれるため、会社にとっても重要な取り組みです。出来ればN-2期ではIT統制環境を構築し、N-1期に評価・改善を行った上で、問題ない状態で申請期を迎えられるように早い段階から準備を進めることが肝要です。
IT統制は内部統制の中で重要な一要素であることを理解いただけたのではないかと思います。
IPOするためには内部統制およびIT統制への対応は必須です。内部統制への対応ができていないと、最悪の場合、内部統制監査をクリアできないという事態にも陥ります。
IT統制環境の構築には、社内インフラの整備・社内ルールの整備・基幹システムのリプレイスなどの会社全体に影響を及ぼす取り組みが多く含まれるため、会社にとっても重要な取り組みです。出来ればN-2期ではIT統制環境を構築し、N-1期に評価・改善を行った上で、問題ない状態で申請期を迎えられるように早い段階から準備を進めることが肝要です。
よくあるご質問
- IT統制とは何ですか?
- IT統制とは、ITに関するリスクを管理し、ITリスクを適切にコントロールする仕組みを構築し運用するための活動のことです。
- 内部統制とIT統制の関連性
- 内部統制の目的を達成するための基本的要素として「ITへの対応」があり、これがIT統制と言えます。
- IT統制の構成要素は?
- IT全社的統制(経営レベルでのコントロール)、IT全般統制(ITGC、ITシステムの環境を保証するためのコントロール)、IT業務処理統制(ITAC、ITシステムを用いた業務を正確に行うためのコントロール)の3つで構成されます。
関連コラム
執筆
株式会社エッグシステム
代表取締役
高橋 翼氏
代表取締役
高橋 翼氏
IT戦略・システム化計画策定から、システム開発・運用保守、マネジメント、ITガバナンスまで幅広い業務経験を経て2017年に株式会社エッグシステム創業。中小企業向けにITシステムによる売上拡大・業務効率化を実現する「コンサルティングエンジニアサービス」、IPOを目指すベンチャー企業向け「IT統制サポート」を行う。
コーポレートサイト
コーポレートサイト
月2回程度、IPO準備に役立つ情報を配信!
IPO Compassメルマガ登録はこちらから!
メルマガ登録
