昨今、様々な業務がITによって効率化され、生産性の向上や人的資源の削減などに大きく寄与し、ビジネスの発展を活発化させている会社が増えています。

一方で、ITを導入することによるリスクも存在します。例えば、システム障害やバグ、入力ミスによるヒューマンエラーなど、ITによるリスクは多岐にわたります。ITを適切に活用しながら、ITリスクを統制するための環境が必要です。

本記事では、IT統制の概要をご説明した上で、個々に存在するIT統制はどのような統制なのかを中心に解説します。IT統制について理解を深めたい方は、是非とも参考にして下さい。

目次
IT統制とは？
なぜIT統制が必要なのか？
IT統制について
IT全社的統制
IT全般統制
IT業務処理統制
GTAGについて
IT統制で健全な会社運営を維持させよう

IT統制を一言で表すと、「ITに関するリスクを把握し、コントロールする仕組みを構築・運用する活動」です。

IT統制は、内部統制の目的を実現させるための6つの基本的要素に含まれています。つまり、IT統制は内部統制の一部であり、切っても切り離せない関係にあるということです。

参照：内部統制とは？ 4つの目的・6つの基本的要素、J-SOXについても解説

IT統制が必要な理由を一言で表すと、「組織のあらゆる社内システムがITに依存しているから」です。

ITに依存しているということは、それだけITに対するウェイトは高くなります。もし、ITを活用した社内システムに対する適切なコントロールが機能していなければ、業務の有効性と効率性に甚大な影響を及ぼしてしまいます。

IT統制がない状態の例を挙げると、「社内システム内で適切なアクセス権限が設定されていない状態」や「誤った情報を入力した時にエラーが表示されない状態」などが該当します。これらの状態は、第三者による改ざんリスクや誤謬リスクなどの不正リスクにつながるので、IT統制は必要不可欠であるといえます。

参照：財務報告に係る内部統制の評価及び監査の基準並 びに財務報告に係る内部統制の評価及び監査

まずは無料の説明会にご参加ください。

IT統制の必要性についてご理解いただいたところで、IT統制にはどのようなものがあるのかを解説します。

IT統制は大きく「IT全社的統制」「IT全般統制」「IT業務処理統制」の3つに分類されます。 IT全社的統制は、IT全般統制とIT業務処理統制の基盤に位置します。 IT全社的統制の中にIT全般統制があり、IT全般統制の中にIT業務処理統制があると考えると良いでしょう。

参照：システム管理基準 追補版 (財務報告に係る IT 統制ガイダンス) 平成19年3月30日 経済産業省

まず1つ目は「IT全社的統制」です。IT全社的統制とは、企業の統制が全体として有効に機能する環境を保証するため、ITに関連する方針や手続の策定について、情報システムを考慮した内部統制などをいいます。

IT全社的統制は、企業全体を対象としているため、例えば、ガバナンスポリシーがステークホルダーに公開されているか、従業員に対するITの教育や研修の方針が定まっているかなどをチェックします。

IT全社的統制を敷くことで、ITに関する社内の方針や手続が形骸化するリスクを防ぐことができます。ITに依存した社内システム全てを支える統制になりうるので、IT統制を1から導入する際は、まずIT全社的統制から検討すると良いでしょう。

次に2つ目は「IT全般統制」です。IT全般統制は、業務処理統制が有効に機能する環境を保証するための統制活動をいいます。複数の業務処理に関係する方針と手続のうち、IT基盤を単位として構築する内部統制です。

IT全般統制は、IT基盤を対象としているため、例えば、システム開発の導入から運用に至るまでのプロセスが管理できているか、社内外のアクセス管理が十分かなどをチェックします。

IT全般統制を敷くことで、業務の効率性が上がり、システムを有効かつ安全に運用することができます。もし、何か新しいシステムを導入したいとして、ITに関する規定やルールと照らし合わせる際は、IT全般統制に立ち返って検討すると良いでしょう。

3つ目は「IT業務処理統制」です。IT業務処理統制とは、 業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確実にするために業務プロセスに組み込まれたITに係る内部統制です。

IT業務処理統制は、個々の業務プロセスを対象としているため、例えば、各部門の業務管理システムにおけるアクセス権限やエラーの修正があった際に行われる再処理が機能し、統制できているかなどをチェックします。

IT業務処理統制を敷くことで、手作業で行っていた業務が自動化できるようになり、手作業によるミスや誤った処理によるエラーなどを防ぐことができます。

このIT業務処理統制ですが、大きく「入力統制」「処理統制」「出力統制」の３つに分類されます。

参照：業務処理統制の監査

入力統制は、入力されたデータの正確性、完全性、正当性をチェックし、誤ったデータがあれば排除することを目的とします。人間はデータを入力する際にミスをしてしまうことが多いため、入力統制は他の統制よりも重要度が高いといえます。

例えば、入力されたデータは有効なもの以外は受け付けないようにしたり、絶対存在しない数値を誤って入力したら必ずエラーが出るようプログラムする行為が該当します。

入力統制は、入力データの有効性を保証します。

処理統制は、入力したデータが意図しない形で処理されることなく、正当に行われていることを目的とします。正当に行われているというのは、入力したデータがプログラム通りに処理されていて、エラーが起きていないことを表します。

例えば、トランザクション処理の前後を保存して比較できるようにしたり、エラーを適時的に集積できるようプログラムする行為行為が該当します。

処理統制は、処理されたデータの正確性、一貫性を保証します。

出力統制は、処理されたデータが妥当で、安全な方法で展開されていることを保証することを目的とします。処理統制と似ている要素がありますが、処理統制との大きな違いは。人手によるマニュアル的統制が出力統制にはありますが、処理統制にはありません。

例えば、アウトプットされた重要性のある書類を保管したり、出力されたエラーが担当者に適時に周知できるようにするなどの行為が該当します。

出力統制は、出力データの正確性、妥当性を保証します。

IT統制について理解を深める上で、是非とも参考にして頂きたいIT監査のガイダンスとして、GTAGがあります。

GTAGは、IT統制の構成要素、種類と役割、IT統制に関する取締役会、経営陣、監査人の役割と責任などについて解説しています。リスクの評価と対応から統制活動へと続き、継続的に評価していく通常の内部統制や内部監査のフレームワークが、IT統制やIT監査においても有効であることを示しているところがポイントです。

GTAGは、本記事で紹介したIT統制の内容とは少し性質が異なるものとなっています。例えば、事象が発生した場面に応じて「予防的統制」「発見的統制」「是正的統制」の3種類に分けて解説されていたり、IT統制の役割に応じて「ガバナンス統制」「マネジメント統制」「技術的統制」の3種類に分けて解説されていたりと、IT統制を様々な側面から見た上で、様々な場面において、どのような統制が役に立つのかが記載されていますので、汎用的に活用することができます。是非とも参考にして下さい。

参照：IIAが提供するIT監査のガイダンス 「GTAG」の紹介

IT統制を導入する上で最も大切なのは、そのIT統制はどのようなリスクに対して有効かを理解することです。リスクに対応できないIT統制では意味がありません。まずはITに関するリスクにはどのようなものがあるかを特定するところから始めると良いでしょう。

IT統制を敷いていてもサイバー攻撃を受けてしまった会社は数多く存在し、ITによるリスクは社会問題となっています。このことから、IT統制は健全な会社運営を維持させる上では必要不可欠です。会社や業界によってITリスクは様々ですが、本記事が何かIT統制の参考になれば幸いです。

ここまでお読み頂きありがとうございました。

アビタスでは2005年にCIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さにこだわっています。

講師は対法人向けの内部監査の実務研修も行っており、専門分野の知識だけでなく、ティーチングスキルにも優れているのが魅力です。

また通学・通信を併用できるコースや、スキマ時間で学習できるコンテンツなども揃えており、忙しい社会人でも効率よく学習できる環境が整っています。

CIAをはじめとする内部監査に関する資格取得を目指している方は、ぜひアビタスの利用を検討してみてください。

まずは無料の説明会にご参加ください。