4統制のIT統制とは – 分かりやすく解説
内部統制は、IT統制(IT全般統制・IT業務処理統制)、全社統制(IT全社統制)、業務プロセス統制、決算統制(全社・個別)の4つに区分されます。IT統制は、企業の情報技術に関連する業務やプロセスにおける内部統制の整備・運用を指し、ITガバナンスとは異なる概念です。現在、企業活動のあらゆる側面でITが活用されており、内部統制の整備や運用においてもITの重要性はますます高まっています。
この記事では、IT統制に関する重要なポイントを分かりやすくまとめました。組織の成長に向けて、ぜひ参考にしてください。
IT統制とは?
IT統制は、企業が情報システムを適正かつ円滑に運用するための内部統制の一環として行われる活動です。日々の業務や企業活動において必要な情報システムの整備と運用を通じて、その正確性と信頼性を確保することを目指します。
IT統制は「IT全社統制」「IT全般統制」「IT業務処理統制」の3つの項目で構成されています。
IT統制とITガバナンスとの違い
IT統制とITガバナンスは、共に情報システムの適切な管理を目指すものですが、それぞれ異なる側面を担当しています。IT統制は、日々の業務において情報システムが適切に機能しているかを監視し、管理するための活動です。セキュリティ対策やアクセス制御、データの保護など、情報システムの正確性と信頼性を確保するための措置を講じます。一方、ITガバナンスは、情報システムの戦略的な管理と統制を目指します。
経営層や意思決定者が情報システムの戦略策定や投資判断を行う際に、情報システムの価値を最大化し、リスクを最小化するための統制環境を整備します。要するに、IT統制は日々の業務に焦点を当て、情報システムの適切な運用を確保します。一方、ITガバナンスは経営レベルで情報システムの戦略的な管理と統制を行い、企業の戦略に合致したITの活用を目指します。
IT統制の構成
前述した通り、IT統制は以下の3つから構成されています。
1.IT全社統制
IT全社統制は、企業全体の情報システム環境に関する統制を指します。これは、完全子会社や連結子会社を含めたグループ全体のITに関するルールや方針、体制を構築し、実施した計画を監視する仕組みづくりを指します。IT全社統制では、管理や運用、統制だけでなく、仕組みづくりが重要です。
IT全社統制の例
IT全社統制の具体的な例として、以下が挙げられます。
- セキュリティポリシーの策定と適用
セキュリティポリシーを作成し、全社員に周知し遵守させる。具体的なポリシーとしては、パスワードの定期的な変更、機密情報の取り扱い規定などが含まれます。 - システム変更管理プロセスの確立と遵守
システムの変更を管理し、正式な手続きと承認のプロセスを設ける。変更の目的、変更内容、影響度の評価などを文書化し、変更のトレース性を確保します。 - ビジネス継続計画(BCP)の策定と定期的なテスト
災害や緊急事態に備え、ビジネス継続計画を策定し、定期的なテストを実施する。従業員の安全確保やシステムの復旧手順などが含まれます。
2.IT全般統制
IT全般統制は、情報システムの管理と運用に関連する統制を指します。ITシステムを実際に運用し、管理することによって、業務に対する信頼性を確保し、効率化を図ることが求められます。また、ITシステムの運用において発生するミスや問題を未然に防ぐ役割も担っています。
IT全般統制の目的は、企業の業務を円滑に行い、情報の正確性や安全性を確保するために、ITシステムの運用・管理を適切に行うことです。
IT全般統制の例
IT全般統制の具体的な例として、以下が挙げられます。
- システム運用管理
システムの日常的な運用・保守、トラブル対応、パフォーマンスモニタリングを行う。
システムの正常な動作や安定性を確保し、問題が発生した場合には迅速に対処することが重要です。 - アクセス制御と権限管理
ユーザーに対して適切なアクセス権限を与え、必要最小限の権限でシステムへのアクセスを制御する。
アクセスログの監視や異常アクセスの検知を行い、セキュリティ上のリスクを抑えます。 - データのバックアップと復旧計画
データの定期的なバックアップを実施し、万が一の際にはデータの復旧を迅速に行えるような計画を策定する。
バックアップの完全性やデータの保管場所のセキュリティを確保することが求められます。
3.IT業務処理統制
IT業務処理統制は、実際の業務において適正かつ正確にデータが処理・取り扱われ、管理されるための統制を指します。この統制は、業務の実施過程においてデータの入力、処理、出力が正確に行われ、情報の信頼性と完全性を確保することを目的としています。
IT業務処理統制の例
IT業務処理統制の具体的な例として、以下が挙げられます。
- データ入力の検証と承認
データの入力前に正確性や妥当性を確認するための検証手順(ダブルチェックなど)をITを使って自動的に実施する。データの自動検証プロセスを設け、正確性や完全性が確保されたデータのみをシステムに反映するよう設定します。 - データの自動インターフェース
あるシステムから別のシステムへデータを定期的に自動コピーする。システム間の自動入力について、正確性や完全性が担保されるようシステムを設定します。 - レポートの自動生成
システムが保持するデータに基づいて正確かつ網羅的なレポートを自動生成する。例えば、得意先元帳データから売掛金の年齢表が正しく生成されるよう適切にシステムに設定を反映します。
監査法人がチェックするポイント
監査法人がチェックするポイントは、企業の内部統制やIT統制の適正性や効果を評価するための項目や手法があります。
具体的なポイントは以下の通りです。
- パスワードの設定と管理
- パスワードの要件
強力なパスワード要件(長さ、複雑性、特殊文字の使用)が設定されているか。 - パスワードの有効期限
パスワードの定期的な変更が求められているか。 - パスワードのロックアウト
一定回数の誤った入力によりアカウントがロックアウトされるセキュリティ措置があるか。
- パスワードの要件
- データの管理
- バックアップと復旧
データの定期的なバックアップと復旧手順が確立されているか。 - データの暗号化
機密データや個人情報が適切に暗号化されているか。 - データのアクセス制御
データへのアクセス権限が適切に管理されており、権限のないユーザーがデータにアクセスできないか。
- バックアップと復旧
- プロセスの管理
- 権限管理
システム内でのユーザーの権限が適切に設定され、必要な業務のみが実行されるか。 - 変更管理
システムやアプリケーションの変更が適切に管理され、変更の承認と追跡が行われているか。 - 監査ログの管理
システムの操作履歴やログが適切に記録されており、必要な監査活動が行えるか。
- 権限管理
以上のポイントは、網羅的ではありませんが、監査法人が企業のIT統制の適正性やセキュリティ対策の効果を評価する際に重要な要素となります。企業はこれらのポイントに対して適切な対策を行い、内部統制の強化とセキュリティレベルの向上を図る必要があります。
まとめ
IT統制は、企業が情報システムを適正かつ円滑に運用するための活動であり、内部統制の一環です。IT統制は「IT全社統制」「IT全般統制」「IT業務処理統制」の3つの項目に分けられます。
- IT全社統制:企業全体の情報システム環境に関する統制を指します。
- IT全般統制:情報システムの管理と運用に関連する統制を指します。
- IT業務処理統制:業務プロセスにおいてデータが適正かつ正確に処理・取り扱われ、管理されるための統制を指します。
監査法人は、企業の内部統制やIT統制の適正性や効果を評価するために、パスワードの設定と管理、データの管理、プロセスの管理などのポイントをチェックします。企業はこれらのポイントに対して適切な対策を行い、内部統制の強化とセキュリティレベルの向上を図る必要があります。
IT統制は企業の業務プロセスにおいて重要な役割を果たしており、情報システムの適切な運用と管理を実現するために欠かせません。監査法人の評価を受けつつ、適切な対策を講じることで、企業は信頼性の高い情報システム環境を構築し、成長に向けた基盤を築くことができます。