fbpx

IT統制とは?今後の企業に欠かせないIT統制を詳しくご説明します

blank

IT統制は内部統制を行う企業にとって必要不可欠なものですが、正しく理解し企業内で執り行えていますでしょうか?
現在、企業のあらゆる活動にITが活用されており、内部統制の整備や運用においてもITの利用は欠かせません。
ただ、ITは日々進化するため、情報の収集、更新が必要であること、IT統制を行うためにはITに関する専門的な知識が必要であることから苦手意識を持つ方が多く、思うように進めることができないという声も多く聞かれます。
そこで、ここではIT統制を行うための基礎知識から実際の実施項目、注意事項まで分かりやすくご紹介いたします。

IT統制を行うために必要となる基本的な知識を身につけよう

IT統制とは?

IT統制とは、内部統制を構築するための6つの基本的要素のうちのひとつである「ITへの対応」を達成するための活動のことです。
日々の業務や企業活動を適正かつ円滑に行うために、情報システムに関わる全ての仕組みを整え、運用し、正しく機能されているかを確認するまでを指します。
具体的には、企業の経営管理から日々の業務が適切に運用できているかを監視し、管理するためにITを活用すること、そしてそのITシステム自身が正しく機能しているかを管理することがIT統制の目的です。
IT統制には大きく以下の3つの項目があります。

IT統制を構成する3つの項目

1. IT全社的統制

IT全社的統制とは、完全子会社、連結子会社等を含めた企業グループ全体のITシステムを正しく機能させるための内部統制のことを表します。グループ全体のITに関してルールや方針、体制を構築し、実施した計画を監視する仕組みづくりを行うことが求められており、ポイントとなるのが、管理や運用、統制するのではなく、仕組みづくりを行うという点です。
適切に管理、統制するための前段階である仕組みづくりを行うため、IT統制の基礎となり重要な項目になります。

IT全社的統制を達成するためには、以下の5つの要素に対して正しく対処することが必要です。
具体的に見ていきましょう。

(1) ITに関する基本方針の作成と明示

ITに関する基本方針の作成と明示では、企業としてITをどのように活用していくか、環境をどのように整えていくのかといったIT全般における方針を示すことが求められます。具体的には、ITにどれくらいの予算をかけるのか、導入までにどれくらいの時間を要するのか、従業員に対してIT教育や研修は行うのかといった内容を企業の方針として定め、社内共有することです。
セキュリティ規定などを作成することも含まれており、方針を資料にして社内共有することも必要になってくるでしょう。

(2) ITに関するリスクの評価と対応

ITに関するリスクの評価と対応とは、導入したシステムを活用することで起こり得るリスクを予測し対応することです。
例えば、情報漏洩を防ぐために、新しいシステムを導入する時には閲覧権限を分散化するといった仕組みづくりで、予防策を上げるだけではなく、実際に問題が起きてしまった時の対応を含めて予測し、対応策を考える必要があります。

(3) 統制手続の整備と周知

統制手続の整備と周知とは、ITシステム導入後も監視、定期的に整備し、定めた基本方針を社内で共有することです。
ITシステムを導入したものの、期待される効果が出ていない、導入後の更新が行われず古いシステムを使用したままで業務に支障が出るといったことが起こりえます。ITシステムは日々進化していくため、企業活動、社会情勢に合わせた整備が必要です。
また、システムは企業で働くすべての人が実施することで成り立ちます。社内で理解できていない人がいる、利用していない人がいるといったことがあれば統制が行われているとは言えません。徹底した周知活動が必要です。

(4) 情報伝達の体制と仕組の整備

情報伝達の体制と仕組の整備とは、社内で情報を共有する際にどのような手段で行い、どのように取り扱うかの仕組みづくりを行い、体制を整えることです。具体的には、従業員に対してセキュリティに関する情報を共有したいとき、メールで全員に配信するのか、社内のポータルサイトに掲載するのか等、どのような方法で通達するのかを決めて、適切に伝達するための体制、仕組みを整備するということが例として挙げられます。企業ごとに最適な方法は変わってくるため、迅速かつ安全に、そして正確に情報を行き渡らせるための手段を見極めることが重要です。

(5) 全社的な実施状況の確認

全社的な実施状況の確認とは、IT統制、ITシステムが期待通りにはたらいているかを定期的に確認することです。
部署によって取り扱う情報は異なるため、各部署が持つ機密情報が適切に取り扱われ、保管されているかを部署ごとに確認することが必要です。企業に関わるすべての部署、人の確認が必要で、社内全体としての統制が保たれているかについても評価する必要があるでしょう。

以上5つの要素をもとに統制を行うことで、IT全社的統制が達成されることになります。
1から順を追って実施することが達成への近道です。IT全社的統制はIT統制の基本となりますので各項目について漏れることなく理解していきましょう。

2. IT全般統制

IT全般統制とは、業務全般に関わるITシステムが期待される効果が発揮されるように整備し、管理することです。
実際にITシステムを運用し、管理することを通して業務に対する信頼性を確保すること、効率化を図ることが求められます。
ITシステムを運用する上で、起こり得るミスや問題を未然に防ぐ役割も担っています。

IT全般統制は、以下の4つの項目が統制されていることで適切な運用がなされているかを評価します。

(1) システムの開発、保守に係る管理

システムの開発、保守管理を効率よく正確に行うことが求められます。
システム開発は多大な労力、コストが必要なため、実行するべきことを明確にし、計画的に行うことが必要です。

(2) システムの運用・管理

実際に使用するシステムの運用、管理を行うことで、リスク対策も含まれます。
具体的には、システムのログ履歴の収集やデータのバックアップなどが挙げられます。
また、ここで重要なのは、システムの開発者と運用者を分ける必要があるということです。社内システムの不正、悪用や情報漏洩を防ぐために必ず分離させましょう。

(3) 内外からのアクセス管理等のシステムの安全性の確保

企業内のあらゆる情報に対して、セキュリティを強化すること、リスクを未然に防ぐことが求められます。
代表的な例を挙げると、外部からの不正なアクセスや従業員によるデータの改ざんなどが起こり得るリスクです。それらを防ぐために、データの閲覧、取扱者の権限を定める、コンピューターウイルス対策のアップデートなどが必要になってくるでしょう。

(4) 外部委託に関する契約の管理

ITシステムに関する業務を外部に委託する場合に、実際に企業が求める内容がなされているかを管理、評価します。
外部委託することで企業内の負担を減らすことになり、メリットも大きいですが、ITは常に新しいものが生み出され企業活動も時代や社会情勢に合わせて変化していきます。定期的に外部委託先を評価し、契約内容や責務についてしっかりと把握しておきましょう。

以上、4つの要素が重要で、ひとつでも欠けている場合、統制活動に支障が生じます。
正確に実践できていない場合、企業に対する信用を失いかねない項目も含まれているため、しっかりと項目別に対策を行う必要があります。

3. IT業務処理統制

IT業務処理統制とは、実際の業務において適正に正しくデータが処理、取り扱われ、管理されるための統制のことを指します。システムそのものではなく、実際に適切に業務が行われているか、リスクはないかを確認することが求められます。身近な例を挙げると、入力業務のダブルチェックやデータの照合機能などがあり、目視や人員によるITシステムに頼らない業務も一部含まれます。

IT業務処理統制は大きく以下の2つの要素があります。

(1) システムと人による業務が一体となっているもの

例えば、前述したダブルチェックや、従業員が入力していたデータが間違っていた場合に、エラーが出て目視で確認、修正を行うといったことが挙げられます。企業の部署内でルール化されていることも多く、すでに日々の業務で行っていることも多いでしょう。

(2) システムに自動化されて組み込まれている機能

こちらは、システムにより異なり、業務内容によってシステム構築する必要があります。例えば、誤ったデータ入力やエラー、未入力項目がある場合は次のページに進むことができない、セキュリティ強化のため、一定期間をすぎるとパスワード変更が必須で定期的にパスワード変更の連絡があるといった内容です。企業活動や業務内容によって様々ですが、現実的に実用化できるシステムを採用する必要があるでしょう。

IT統制は以上3つの項目で構成されており、各項目で何が求められているのかを把握することで必要な情報の収集、人員の確保を効率的に行うことが可能です。しっかり理解しておきましょう。

IT統制を担う人材とは

IT統制が今日の企業にとって不可欠であり、重要な役割を果たすことは分かりました。それでは、実際に企業内の誰が、どのようにIT統制を進め、評価していくのでしょうか。
IT統制は、大きく分けて、以下の2部門に所属している人材によって行われます。
各部門の現状の課題と解決方法も交えながら紹介していきます。

1. 内部監査部門

IT統制は、内部統制のひとつであるため、内部統制の評価を行う内部監査部門が評価を行います。会社全体の内部統制に関する事柄を理解していることから、IT統制に関しても会社としての大きな視点から評価、対応が可能です。ただし、内部監査部門は業務や経理を行ってきた人材で構成されていることが多く、ITに関する知識が少ないため苦手意識を持つことが多く見受けられます。よって、監査法人からの指示をそのまま受け入れることしかできない、評価が正しく行えていないのではといった懸念があります。SaaSが増える昨今において、IT統制の維持・改善を目的にどのように監査を行うかは重要な課題である企業が多いはずです。

2. 情報システム部門

情報システム部門は、ITの専門知識を持った人材によって構成されており、企業のITシステムを構築し運用、管理する役割を担っています。よって、IT統制においても仕組みの構築から評価まで行うことで円滑に統制を進めることができるでしょう。ただし、内部統制の評価については第三者から見た客観的な視点を持つことが重要です。ITシステムを構築し、運用、管理している部門が自らの評価を客観的に行うことができるか、確固たる信頼を置くことは難しく、またITに特化するあまり会社全体の視点からの評価が難しいのではいかといった懸念があります。

上記2部門が主にIT統制を進める上で鍵となりますが、双方に長所、短所があります。
よってIT統制を進める上で、内部監査部門と情報システム部門の連携、明確な役割分担が必要となってきます。IT統制の会社全体の視点から見た体制の構築や方針、評価については内部監査部門が行い、評価に対する改善、実際のシステム構築、課題の提示はシステム部門が担うといった各部門の得意とする点を各部門が責任を持って行うことでIT統制を円滑に進めることができるでしょう。
互いにコミュニケーションを密にとることが重要です。

監査法人がチェックするポイントとは?

監査法人は業種ごとに注視するポイントが異なっていますが、主に、不正取引がないか、システムに不具合が出ていないかを確認しています。ほとんどの企業に当てはめることが出来る具体例を3つご紹介します。

1. パスワードの設定、管理

ITシステムを使用する際にパスワードが必要であることは必須ですが、そのパスワードが、英数字8桁以上、有効期限が決まっている(2ヶ月毎など)、更新しない場合は使用がストップされるといった設定がなされているかを監査法人はチェックします。パスワードはあらゆるシステムで必要なため、意識が低くなっている可能性もあります。しっかりルール決めを行い、パスワードの管理を徹底しましょう。

2. データの管理

ペーパーレス化が進み、企業のあらゆる情報がデータによって管理されています。データがセキュリティによって守られ、万が一データが消失した場合に復旧できるシステムが構築されているか監査法人によってチェックされます。データ復元までの時間等も含まれるため、未然のリスク管理が重要です。

3. プロセスの管理

発注業務等で、不正が行われないように承認者の設定や発注の流れについてシステム化出来ているかをチェックします。勝手に発注業務が行われてしまうようなシステムになっていないか、権限の設定と第3者が操作できない仕組みづくりを行う必要があります。個人の意識に任せるのではなく、ITシステムとプロセスの徹底を行い、不正や誤りを防ぐことが重要です。

IT統制についてのまとめ

IT統制とは、内部統制において重要な要素であり、今日の企業にとって避けることが出来ないものです。
企業規模や活動内容、業務内容によって統制内容は異なり、企業ごとに対応していくことが必要になってきますが、IT統制は企業活動及び業務が円滑に進む仕組みづくりをITで行い、ITによって管理することが目的です。目的を忘れることなく、ITを上手く活用していくという意識を持つことでスムーズに進めることが出来るでしょう。
また、ITに関する知識を十分に持つ人材は、企業内でも限られていることが現状で、IT統制を進める上で障壁になることがありますが、各部門がコミュニケーションを取り、協力すれば統制を達成することは難しいことではありません。
ぜひ積極的に取り組んでいきましょう。