コラム COLUMN
IT統制とは?内部統制との関係やIT統制の要素を詳しく解説
内部監査部門で内部統制に関わっている方の中には、IT統制を行う機会もあるでしょう。IT統制とは、組織内外のITに関する業務を効率的にトラブルなく遂行する仕組みを作ることを指します。
当記事では、IT統制を構成する要素や関係する部門、実施する方法を詳しく解説します。業務のIT化が進む中、企業はセキュリティを高める目的でITの運用方法をしっかりと考える必要があるため、当記事を参考にしてIT統制を進めましょう。
目次
1.IT統制・内部統制とは?
IT統制とは内部統制の1つであり、ITリスクをコントロールする仕組みを作り運用することです。内部統制には目標を達成するための4つの基本的要素があり、IT統制も基本的要素の1つに含まれます。
ここからは、そもそも内部統制とは何かという点から、IT統制の定義・必要性について解説します。
1-1.内部統制とは
内部統制とは、経営者が会社を効率的かつ健全に運用する仕組みのことです。
内部統制は、以下の4つの目的を達成するために組織内で構築されます。
- 業務の有効性・効率性
- 財務報告の信頼性
- 事業活動にかかわる法令などの遵守
- 資産の保全
上記4つの目的は、すべての会社にとって健全な経営をするために必要不可欠です。しかし、従業員がそれぞれの方法で目的達成の保証を得ようとしても、会社はうまく回りません。目的の達成には、ルールの整備や業務のシステム化などを通して、会社全体が足並みを揃えるための仕組みを作る必要があります。この仕組み作りが内部統制です。
内部統制は、目的を達成するための6つの基本的要素から構成されます。内部統制の基本的要素は以下の通りです。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング(監視活動)
- IT(情報技術)への対応
IT統制は、上記の内部統制の基本的要素の内、「IT(情報技術)への対応」に含まれています。
1-2.IT統制の定義
IT統制はITへの対応に含まれます。ITへの対応とは、組織目標を達成するために定めた方針や手続きを踏まえて、組織の内外のITに対して適切な対応を行いながら業務を実施することです。
業務内容がITに依存している場合やシステムにITを取り入れている場合において、IT統制は内部統制の目的を達成するために不可欠な要素となります。
ITへの対応は、IT環境への対応とIT統制からなります。
IT環境への対応 |
---|
IT環境とは、組織活動でかかわる会社内外のITの利用状況のことです。社会・市場におけるITの浸透度や、取引などにおけるITの利用状況、組織が依拠している情報システムの状態などを指します。 |
IT統制 |
---|
IT統制とは、業務に取り組まれているITに対して、組織目標を達成するために方針や手続きを定め、内部統制のほかの基本的要素をより有効に機能させることです。内部統制のほかの基本的要素のために、ITを有効かつ効率的に利用することでもあります。 |
1-3.IT統制の必要性
IT統制は会社内のITに関する事柄をシステム化して管理することであり、業務のIT化が進んでいる日本において重要な業務です。IT統制を行えば、内部統制のほかの基本的要素をより有効に機能させられます。
例えば、グループウェアや社内ネットワークを利用すれば、組織内の情報共有をより効率化できるでしょう。また、債権回収条件や与信限度をシステムに組み込めば、債権管理などのリスク管理をサポートすることも可能です。
もしもITシステムが会社内で適切に運用されていなければ、不必要な手間や業務が発生し、業務効率が低下します。またルールや仕組みをきちんと作れていない場合、データ流出などのトラブルに発展し、会社の信用にかかわる大きな問題になりかねません。
今は、会社がSNSやWebサイトを利用して集客を図ったり、リモートワークを取り入れたりすることも増えている時代です。IT統制がしっかりできていれば、SNSアカウントでの不適切な発言やリモートワークでのサボりといった、従業員によるITトラブルを回避できるでしょう。
2.IT全般統制の4つの要素
IT全般統制とは、会社情報の信頼性を確保するために利用するITシステムを、問題なく運用管理する仕組みのことです。IT統制は内部統制にITシステムを導入するための土台づくりであり、IT全般統制はITシステム全体をコントロールすることと言えます。
IT全般統制には、以下の4つの業務を行うことが必要です。
- IT開発・保守にかかわる管理
- システムの運用・管理
- システムの安全性の確保
- 外部委託に関する契約管理
ここからは、上記4つの要素について、具体的にどのような業務を行えばよいかを解説します。
2-1.IT開発・保守にかかわる管理
IT開発・保守にかかわる管理とは、経営者の方針に沿った情報システムにするために、社内のITインフラを構築・修正することです。具体的には、以下のような業務がIT開発・保守にかかわる管理に分類されます。
- ソフト・システム開発や変更に対する承認・否認
- ソフト・システムの開発に関する事前テストの実施
IT開発・保守にかかわる管理が適切に行われない場合、会社全体のITシステムに問題が生じます。例えば、担当者の判断で事前テストを行わないまま本番リリースまで進んだ場合、稼働後に誤った情報が生成される可能性があるため注意が必要です。
2-2.システムの運用・管理
システムの運用・管理とは、システムを安定的に稼働させ続けるために必要な運用ルールを指します。具体的には以下のような業務が挙げられます。
- 障害管理
- ソフトウェア・ハードウェア管理
- ネットワーク管理
- 変更履歴のログの収集・管理
- 定期的な保存データのバックアップ
システムの運用・管理は、ITインフラ全体だけではなく、各種ソフトウェアに対しても必要となる業務です。
システムの運用・管理が適切に行われないまま予期せぬトラブルが発生した場合、発生原因やいつ発生したかなどの特定が遅れ、問題への迅速な対策ができなくなります。
2-3.システムの安全性の確保
システムの安全性の確保とは、会社のシステムに関するセキュリティ強化やリスク対策を行うことです。具体的には以下のような業務が挙げられます。
- アクセス者のIDの設定・管理
- アクセス権限の設定・変更
- コンピューターウイルス対策
システムの安全性の確保を適切に行えば、外部からの不正アクセスや攻撃を防ぎ、会社の情報漏洩などを予防できます。
2-4.外部委託に関する契約管理
外部委託に関する契約管理とは、ITにかかわる業務を他社に依頼する場合に行う契約・内容確認・監査業務のことです。
IT業務の他社への業務委託がトラブルにつながったというケースは後を絶ちません。外部委託先に関するトラブルを避けるには、セキュリティに関する要件や、委託業務に関する評価の実施といった条項を契約書に明記することが大切です。
3.IT業務処理統制の4つの要素
IT業務処理統制とは、業務ごとのデータの正確性を高めるために、データを管理・記録することです。IT業務処理統制は一般的に業務プロセスの中に組み込まれ、業務を行うたびに同じ処理が実行されます。
IT業務処理統制を構成する要素は以下の4つです。
- 入力管理
- エラーの修正と再処理
- マスタデータの維持管理
- アクセスの管理
ここからは、上記4つの要素について必要となる業務を解説します。
3-1.入力管理
入力管理とは、入力した情報に誤りや不正がないか、最新の情報であるのかなどのチェックを行う仕組みのことです。例えば、データ入力で不適切な空欄が発生した場合、エラーが出てデータ処理がされないようなソフトを使用することが入力管理にあたります。
ただし、どのような入力情報を保持するかは会社ごとに変わるため、ルールは人間が策定する必要があります。また、入力ルールが徹底されているかを定期的に評価することも大切です。
3-2.エラーの修正と再処理
エラーの修正と再処理とは、業務を進める上でミスや変更があった場合、適切に修正・処理できるような仕組みを指します。
ただし、一般的に業務で使用されるソフトウェアの場合、入力ミスが起こっても修正できるようになっていることが一般的です。
3-3.マスタデータの維持管理
マスタデータとは、それぞれの業務に関して保存・蓄積されたデータです。マスタデータの維持管理とは、マスタデータを問題なく保存し続けることを指します。マスタデータは業務を遂行する上で必要となるデータの中でも特に重要なものです。慎重に扱う必要があり、万が一のトラブルへの対策も必要となります。
マスタデータの維持管理を適切に行うには、マスタデータのバックアップを取ったり、アクセス履歴が残るようなシステムを構築したりすることが大切です。
3-4.アクセスの管理
アクセスの管理とは、各種システムに対してアクセスできる権利を制限・管理することを指します。
会社内のITシステムに対して、すべての従業員が自由にアクセスできる場合、予期せぬ誤操作によるトラブルが発生しかねません。また、従業員が自由にITシステムを変更できてしまうと、社内システム全体に影響が出て業務が進まなくなるケースもあります。
トラブルを起こさないためには、重要なシステムへのアクセス権限は限られた人にのみ与えることが大切です。アクセス権限を与えられている人であっても、必要最低限の操作のみ行えるように制限する必要があります。
また、アクセスした人がアクセス権限を持っている本人なのか認証することもアクセス管理の1つです。
4.IT統制はどの部門に任せる?
社内でIT統制を行うときには、複数の部門で対応することが大切です。具体的には、以下の2つの部門がIT統制を進め、評価していくとよいでしょう。
- 情報システム部門
- 内部監査部門
情報システム部門と内部監査部門にはそれぞれ得意・不得意分野があるため、2つの部門の間でお互いに足りない部分を補いながらIT統制を進めることが大切です。
ここからは、IT統制にかかわる2つの部門について具体的に紹介します。
4-1.情報システム部門
情報システム部門は、IT・コンピューターの専門知識を持つ人材によって構成された部門です。具体的には、IT全般統制における以下の3つの要素を担当しています。
- IT開発・保守にかかわる管理
- システムの運用・管理
- システムの安全性の確保
つまり、社内のITシステムを構築し運用・管理する役割を担っているのが情報システム部門です。加えて、自らが作り上げたシステムに対して自己監査も行うため、監査の視点を持つ人材の配置も望まれます。
IT統制においては、仕組みの構築から評価までを情報システム部門で行うと円滑に進められるでしょう。
内部統制の評価については客観的な視点を持つことが重要です。しかし、ITシステムの構築・運営・管理を行っている部門が自らの評価を客観的に行えるかは難しい問題と言えます。また、ITに特化した部門のため、会社全体の視点から評価を下すのは難しいという懸念もあります。
4-2.内部監査部門
内部監査部門は、IT全般統制における「外部委託に関する契約管理」を担当する部門です。主に、情報システム部門が開発したITシステムについて、自社の目標や方針に沿って正常に稼働しているかを客観的視点で評価します。
IT統制の評価の進め方としては、内部監査部門が評価を実施し、情報システム部門はIT統制の構築・運用に関する改善活動を行うのが理想的です。内部監査部門と情報システム部門とがお互いの強みを生かし、役割分担をすることで、IT統制の評価は効果的に進められるでしょう。
内部監査部門はITシステムに対して監査を行うため、内部監査の知識に加えてITの知識も必要です。情報システム部門などのITに関する部門に所属していた従業員が配置されるケースが多い傾向があります。
一方で、内部監査部門が経理や一般的な業務を行ってきた人材で構成されているケースもあります。内部監査部門にITの知識を持つ人が少ない場合、ITの分野の監査が不得意となり、正しい評価を下せない懸念があるため注意しましょう。
しかし、IT統制もほかの内部統制評価と同じく、仕組みの整備状況と運用状況を評価するものであり、評価のポイントは変わりません。IT統制の維持・改善のためにどのような監査を行えるかは、会社にとって重要な課題と言えるでしょう。
5.IT統制を行う方法
IT統制を行う場合、IT統制の構築で約1年、IT統制の評価で約1年の期間を要するのが一般的です。特に運用ルールの検証については、現行の体制に即しているか、継続的な運用が可能かといった確認が必要になるため、さらに期間に余裕を持たせるとよいでしょう。
ここからは、IT統制を行う際の準備や手順、ポイントなどを解説します。
5-1.運用ルールを制定する
IT統制では、システム開発・システム変更・システム運用・アクセス管理・外部委託管理などの評価項目をカバーするために、以下のような運用ルールが必要です。
- システム開発手順書・変更手順書
- バックアップ取得・管理手順書
- 障害対応手順書
- 入退室管理手順書
- アクセス管理手順書
- アクセス権定義書
- 外部委託管理手順書
運用ルールでは、ITに関する作業手順や申請ルート、承認手続きなどを定めます。現行のシステムや体制などとの整合性を取りながら、自社に即した文書を作成するとよいでしょう。
なお、運用ルールが煩雑な場合、不具合発生などのリスクは減るものの、担当者にかかる業務負荷が高くなります。結果的に運用ルールが形骸化し、守られなくなるリスクがあるため、運用ルールは統制と効率のバランスを考えながら制定することが大切です。
また、運用ルールはほかの部門にも適用されるため、情報システム部門だけではなく関係者にも周知しておきましょう。
5-2.モニタリングを行う
会社の経営管理プロセスや業務プロセスがきちんと機能しているかは、モニタリングによって確認することが大切です。
例えば、セキュリティ対策を行っている会社は多くありますが、導入したセキュリティ対策の有効性を測定・評価し続けている会社は多くありません。しかしセキュリティ対策は、導入時のままいつまでも有効であるとは言い切れないものです。新しいウイルスや攻撃手法などは次々に登場するため、セキュリティ対策も更新を続けなければリスクが増加してしまいます。
モニタリングを実施してコンピュータ・システム自体が十分に管理されているかを監視し、適切に稼働するようにコントロールすることが大切です。
5-3.定期的な評価を行う
運用ルールを制定しても、守られなければ意味がありません。制定した運用ルールが、日常業務の中で遵守され続けることが大切です。また、運用ルールに沿って日常業務を進めていく中で、運用負荷が高すぎたり、統制が不十分だったりといった問題点が浮上する場合もあります。
IT全般統制やIT業務処理統制に不備があった場合、広範な影響を及ぼす恐れがあります。運用ルールを制定し、モニタリングを行うだけではなく、定期的に評価を実施し、不備が見られる場合は迅速に改善を行うことが大切です。
特にアカウント管理に関しては、効率性を重視して適宜権限が付与されるなど、適切な運用が行われないケースが多いため、定期的な評価が重要になります。
まとめ
IT統制とは、会社を健全に運営するために必要な内部統制の1つであり、ITに対して適切な対応をしながら業務を行うことを指します。業務のIT化が進む現代では、業務の効率化やデータ流出などのトラブルを防ぐためにIT統制をきちんと行うことが必要です。
IT統制は主に情報システム部門と内部監査部門が協力して行います。他の内部統制評価に慣れている内部監査部門がIT統制に関われば質の高い評価が行えますが、IT統制に関わるにはIT関連の知識も必要な点には注意しましょう。