内部統制におけるIT統制とは？IT統制の役割や種類、担う部門について解説

現代はあらゆる場面でITシステムやデジタル情報といったIT（情報技術）が利用されており、企業の経営や業務においてもITは欠かせない存在です。そのため、内部統制における基本要素の一つである「IT統制」は、企業活動全般に影響を与える重要な役割を担っています。

しかし一方で、IT統制の具体的な内容まではよく理解していない、という方もいるのではないでしょうか。IT統制に関する業務を進めるうえでは、IT統制の役割や目的といった基本を理解しておくことが大切です。

この記事では、IT統制の基礎知識として、IT統制の役割や種類、IT統制を担う部門について解説します。IT統制についての理解を深め、企業におけるITへの対応に役立てましょう。
 

■内部統制とは？

内部統制とは、企業が事業活動を効率的かつ健全に運営するための仕組のことです。内部統制を整備することで、企業の不祥事を未然に防ぎ、業務の適正化・効率化を確保し、資産の安全な管理を図れます。また、事業活動の効率的で健全な運営は、企業の社会的評価の高まりや従業員のモチベーションアップにもつながっていきます。

内部統制はどのような会社においても必要なことです。そのため、金融庁の資料「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」のなかにある「財務報告に係る内部統制の評価及び監査の基準」において、内部統制の4つの目的と、それらの目的を実現するための6つの基本要素が定義されています。

【4つの目的】
•    業務の有効性及び効率性
•    財務報告の信頼性
•    事業活動に関わる法令等の遵守
•    資産の保全

【6つの基本要素】
•    統制環境
•    リスクの評価と対応
•    統制活動
•    情報と伝達
•    モニタリング
•    IT（情報技術）への対応

内部統制の4つの目的を個人に依存せず実現するためには、会社全体での仕組の構築が必要です。そこで、6つの基本要素に分けて仕組の構築を進めることで、内部統制の実現を図ります。

参考：
財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）｜金融庁
 

■IT統制とは

IT統制とは、先ほど紹介した内部統制における6つの基本要素の一つである「IT（情報技術）への対応」を達成するための活動です。

現在の日本企業では、さまざまな業務においてITシステムやデジタル情報が欠かせません。IT統制では、ITシステムにかかわるあらゆる仕組を整備して、適切に運用できるようにします。また、ITシステムを正しく活用できているかを確認して管理します。

例えば、導入したITシステムが適切に活用されていなければ、余計な手間や無駄な業務が発生して業務効率も低下しがちです。また、ITシステムの運用ルールの整備が不十分な場合、重要データの流出といったトラブルが発生し、企業の信頼損失にもつながりかねません。

そこで、ITシステムの適切な活用やトラブル予防のために、ITシステムを適切に運用管理するための仕組を整えるIT統制は重要なのです。

ITシステムは企業活動全般にかかわっているため、IT統制の内容はほかの内部統制の要素に大きく影響します。IT統制による、IT環境の適切かつ効果的な使用に向けた整備は、ほかの内部統制の要素をより有効に機能させることにもつながるのです。
 

■IT統制の種類

IT統制は、さらに次の3つの統制に分けられます。

【IT統制の3つの分類】
•    IT全社的統制：企業グループ全体におけるIT環境への対応や利用に向けた仕組を整えるための統制
•    IT全般統制（ITGC）：ITシステムの環境を保証するための統制
•    IT業務処理統制（ITAC）：ITシステムを用いた業務を適正に行なうための統制

3つの分類の詳細について解説します。
 

◇IT全社的統制

IT全社的統制の目的は、完全子会社や連結子会社なども含む企業グループ全体において、IT環境への対応や利用に向けた仕組を整えることです。具体的には、ITシステムを正しく利用して機能させるために、ITに関する全社方針や手続、体制などを構築し、計画の実行を監視する仕組を作ります。

IT全社的統制は、企業グループ全体で適切にITシステムを利用していくためのベースとなる仕組を整える取り組みであり、IT統制の基盤といえる重要な項目です。

IT全社的統制は、次の5つの要素で構成されます。
•    ITに関する基本方針の作成と明示
•    ITに関するリスクの評価と対応
•    統制手続の整備と周知
•    情報伝達の体制と仕組の整備
•    全社的な実施状況の確認

それぞれの要素について解説します。

・ITに関する基本方針の作成と明示
ITシステムの活用方針やIT環境の整備方針といった、ITにかかわる企業としての全体方針を定めるプロセスです。ITにかかわる研修やセキュリティの規程なども含まれます。
これらの内容をIT管理規程といった資料としてまとめ社内に共有し、方針にしたがって統制を進めます。

・ITに関するリスクの評価と対応
ITシステムの導入や利用で発生するリスクを洗い出し、予防策の実施あるいは実際に発生した際の対応を規定します。

例えば、デジタル機器の紛失にともなうデータの流出に備える場合、予防策としてデジタル機器の持ち出し規程の作成や、セキュリティ機能の強化といった予防策の実施を検討します。さらに、実際にデジタル機器を紛失したケースを想定し、紛失後の対応や手続の内容を定めます。

・統制手続の整備と周知
ITに関する基本方針を社内全体で共有し、周知します。基本方針の理解はすべての社員に必要であるため、IT教育の実施などを通して周知活動を行ないます。

また、ITシステムの導入後には定期的な整備を実施します。時間の経過とともに古いシステムでは期待する効果を得られなくなったり、企業活動の内容が変化してシステムに求めることが変わったりします。IT環境を効果的に活用し続けるために、定期的な整備が求められるのです。

・情報伝達の体制と仕組の整備
社内での情報伝達に関する仕組を作り、体制を整えます。例えば、従業員全員に向けた緊急の情報発信はメールにて配信する、社内報は社内ポータルサイトに掲載する、といったことが挙げられます。

企業の体制や規模、IT環境などによって、最適な情報伝達の方法は異なります。自社にとって安全かつ迅速に情報伝達できる手段を検討しましょう。

・全社的な実施状況の確認
IT統制が機能しているかを定期的に確認します。「モニタリング」とも呼ばれます。
例えば、機密情報の適切な取り扱いやITシステムの運用効果などについて部署や従業員ごとに確認し、社内全体としてIT統制が実現されているかを評価します。
 

◇IT全般統制（ITGC）

IT全般統制（ITGC）の目的は、社内のさまざまな場面で問題なくIT環境を利用できるように、ITシステムの環境を保証することです。IT全般統制には次の4つの業務があります。

•    システム開発・保守に係る管理
•    システムの運用・管理
•    内外からのアクセス管理などシステムの安全性の確保
•    外部委託に関する契約の管理

それぞれの業務について解説します。

・システム開発・保守に係る管理
社内のITインフラを構築し、運用開始後は保守を実施します。例えば、ITシステムの導入前にはテストを実施し、実環境で適切に利用できることを確認します。また、導入後はソフトウェアのアップデートやシステム変更に対応し、効果的にIT環境を利用できるよう保守を実施します。

・システムの運用・管理
使用するITインフラやソフトウェアについて、リスク対策も含めた運用管理を実施します。例えば、トラブル発生時の原因究明や復旧に役立てるために、システムのログデータの取得やデータのバックアップなどを行ないます。

・内外からのアクセス管理などのシステムの安全性の確保
IT環境にセキュリティ対策を施し、システムの安全性を確保します。これには、外部から社内システムに向けられた攻撃への対策だけでなく、社内から外部への機密情報の流出防止といった対策も含まれます。また、目標とするセキュリティレベルの検討や、実施対策への評価といった業務も行ないます。

・外部委託に関する契約の管理
ITにかかわる業務を他社へ委託する場合に、契約内容を確認して適切に管理します。契約後は定期的に監査を実施し、契約内容や責務に対する実際の業務内容、成果から外部委託先を評価します。
 

◇IT業務処理統制（ITAC）

IT業務処理統制の目的は、実際の業務において適正にITシステムを利用できるように仕組を整えることです。

IT業務処理統制の方法は大きく2つに分けられます。1つ目は、人間とITが連携してミスを防ぐ仕組の構築です。例えば、ソフトウェアで作成した資料を、責任者が目視でチェックするといった方法です。もう1つは、ITシステムが自動でミスやトラブルを防ぐ仕組作りです。例えば、定期的なパスワード変更を求める仕組などが挙げられます。

IT業務処理統制のおもな業務は次の4つです。

•    入力情報の完全性・正確性・正当性等を確保する統制
•    例外処理（エラー）の修正と再処理
•    マスタ・データの維持管理
•    システムの利用に関する認証・操作範囲の限定などアクセスの管理

それぞれの業務について解説します。

・入力情報の完全性・正確性・正当性等を確保する統制
ITシステムへの入力情報について、必要な情報が完全かつ正確な形で入力されるようにするための仕組を整えます。例えば、保持する顧客情報の項目を定めたり、入力データに誤りがある際には処理が進まないようなソフトウェアを使用したり、といったことが挙げられます。

・例外処理（エラー）の修正と再処理
ITシステムの利用においてミスや変更がある場合に、適切に修正して処理できるような仕組を整えます。ただし、現代のソフトウェアは操作の取り消しやミスの修正を前提として開発されているものが多いため、特別な対処が必要になることは稀です。

・マスタ・データの維持管理
データのなかでも最重要な位置づけであるマスタ・データを問題なく保存し続ける仕組を整えます。例えば、トラブルの発生時に備えたバックアップの取得や、アクセス履歴が残るシステムの構築などが挙げられます。

・システムの利用に関する認証・操作範囲の限定などアクセスの管理
ITシステムが適切に利用されるように、認証の導入や操作権限の設定といったアクセス管理を行ないます。
 

■IT統制を担う部門

IT統制を担う主要な部門は、「情報システム部門」と「内部監査部門」です。それぞれの部門にはIT統制における長所と短所があるため、互いに補い合い、IT統制に取り組むことが大切です。

各部門の特徴と、IT統制における注意点を解説します。
 

◇情報システム部門

情報システム部門は、社内で取り扱う情報システムの開発や運用保守に携わる部門です。そのため、ITに関する豊富な専門知識を有しており、IT統制においては仕組の構築から評価まで一連の内容を担えます。

一方で、自部門で開発したシステムに対する評価は、客観性が欠けやすい側面があります。内部統制においては客観的な評価が重視されるため、評価体制や評価基準の設定などに工夫が必要です。

また、ITを専門とする部門であるため、会社全体を踏まえた経営レベル視点での検討が難しいという側面もあります。
 

◇内部監査部門

内部監査部門は、企業独自の監査を担うための独立した部門です。ITシステムの開発は担っていないため、客観的な視点での評価を実施できます。
また、会社全体の内部統制にも精通しているため、IT統制に関しても経営レベルの大きな視点での検討や評価が可能です。

一方でIT分野は専門外であるため、IT環境やシステムに関する意見が実態に則していなかったり、評価での判断が難しかったりする可能性があります。
 

■まとめ

IT統制とは、内部統制における基本要素の一つである、ITへの対応を達成するための活動です。

企業が効率的かつ健全に事業活動を運営するためには、内部統制が欠かせません。内部統制の一つであるIT統制は、ITへの対応を目的とする活動であり、内部統制全般にかかわる重要な要素です。そのため内部統制の監査やIPOの際にも重視されます。
一方で、IT統制にはどの会社でも適用できるような仕組はなく、会社ごとに最適な仕組やITシステムを検討する必要があります。

ITは今後も進化を続け、IT統制の重要性はより増していくでしょう。IT全社的統制・IT全般統制・IT業務処理統制をそれぞれの役割に沿って推進し、自社にとって最適なITへの対応を継続的に実現していくことが大切です。