IT統制の目的とポイント。内部統制基準の改訂による影響とは

ビジネス活動においてITの利活用が欠かせないものになっている今、安全かつ円滑な運用体制を構築するために社内におけるIT統制が重要となっています。特に、IPO（新規株式公開）を考えている企業にとっては、IT統制は避けられません。

IT統制とは、ITシステムの有効な活用やITに関するリスク回避のための仕組みを構築して運用することです。業務の効率性や信頼性の確保を目的とする内部統制の一部に当たります。2023年4月に内部統制基準が改訂されたことで、IT統制についても影響が出ると考えられます。

企業の情報システム（以下、情シス）部門や管理部門の担当者のなかには、「IT統制に向けてどのような取り組みが必要なのか」「内部統制基準の改訂によってIT統制にどのような影響があるのか」などと気になる方もいるのではないでしょうか。

この記事では、IT統制の目的や種類、内部統制基準の改訂による影響、IT統制を進める際のポイントについて解説します。

出典：金融庁『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）』

IT統制の目的

IT統制の目的は、日常的な業務や組織管理にITシステムを活用して、内部統制を有効に機能させることです。内部統制とは、企業が健全で効率的な経営を行う仕組みを指します。金融庁では、内部統制を以下のように定義しています。

▼内部統制の定義

内部統制とは、基本的に、業務の有効性及び効率性、報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の４つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング（監視活動）及びＩＴ（情報技術）への対応の６つの基本的要素から構成される。

引用元：金融庁『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）』

内部統制を実現するには、6つの基本的要素を踏まえて社内体制や運用の仕組みを構築する必要があります。そのうちIT統制は、基本的要素の一つとなる“ITへの対応”を有効に機能させるうえで重要な取り組みとなります。

企業がIT統制の構築を通して目指す目標には、以下が挙げられます。

▼IT統制によって目指す目標

なお、新規株式公開（IPO）を行う際は内部統制の整備が求められるため、IT統制の取り組みが必要不可欠となります。

出典：金融庁『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）』

IT統制の種類

IT統制の取り組みは、IT全般統制（ITGC）とIT業務処理統制（ITAC）に分けられます。

IT全般統制（ITGC）は、ITシステムが有効に機能する環境を保証するための取り組みです。IT業務処理統制（ITAC）は、業務管理システムにおける正確な処理や記録のための取り組みを指します。

企業が設定したIT統制の目標を達成するには、2つの統制が一体となって機能することが必要です。

▼IT統制の種類

なお、内部統制の基本的要素となる“ITへの対応”は、IT統制のほかに“IT環境への対応”も含まれます。IT環境とは、事業活動におけるITの利用状況のことです。

IT環境への対応では、組織の管理がおよぶ範囲においてITに関する基本方針を策定して、適切な対応を行うことが求められます。

出典：金融庁『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）』

内部統制基準の改訂によるIT統制への影響

2023年4月に内部統制基準の改訂が行われました。2024年4月1日以降の内部統制監査より適用が開始されます。

改訂後の内部統制基準では、基本的要素の一つとなるITへの対応について以下の内容が追記されています。

▼ITへの対応に関する改訂

• ITの委託業務に関する統制の重要性
• 情シスに関するセキュリティ確保の重要性

また、ITを利用して実施する内部統制の評価についても、特定の年数で機械的に行うのではなくIT環境の変化を踏まえて行うべきとされています。

出典：金融庁『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）』

＞＞社内システム運用管理業務トータルサポートサービスに関する資料ダウンロードはこちら

IT統制を進める際のポイント

企業の安全かつ円滑な運用体制を構築するためにはIT統制が求められます。IT統制を進める際は、ITシステムの運用体制について全容を可視化できる状態にするとともに、定期的に評価を行うことがポイントです。

①運用ルールを策定する

IT統制を進めるには、業務を遂行するプロセスや管理方法に関する方針と運用体制を定めて、全般的な統制活動を行う必要があります。そのためには、ITに関する運用ルールの策定が必要です。

運用ルールを策定する際は、社内で活用しているITの利用状況や業務プロセスを把握しておくことが重要です。

▼運用ルールを策定する項目例

• システム開発・変更に関する管理
• システムの運用・保守に関する管理
• バックアップの取得・管理
• 障害対応の方針やプロセスの管理
• システムのアクセスに関する管理
• 外部委託に関する管理　など

②属人化を解消する

IT統制を構築するうえで、ITに関する管理業務の属人化を解消することが求められます。特定の担当者に依存して業務を遂行する場合、不注意によるミスが見逃されたり、組織内部での不正が行われたりするリスクがあります。

IT統制によって内部統制を実現するには、複数の担当者で職務を分担・分離させて、互いに連携しながら業務フローを進行することが重要です。

▼属人化を解消するポイント

• 各担当者が行う職務の範囲と責任を明確にする
• 権限や職責を同じ担当者に集中しないように相互牽制を働かせる　など

相互牽制の具体例として、取引の承認と記録、資産管理の職責をそれぞれ別の担当者に付与することが挙げられます。

なお、人手不足や知識・技術面の課題によって、ひとりもしくは少数で情シス部門を運営しており業務が属人化している場合には、ITアウトソーシング（業務代行）を活用することも一つの方法です。

出典：金融庁『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）』

③定期的に評価・改善を行う

IT統制を構築したあとは、定期的に評価・改善を行う必要があります。

一度運用ルールを定めても、日々の業務のなかで有効に機能するとは限りません。運用ルールの負荷が大きすぎたり、反対に統制が不十分になったりする可能性があります。

定期的にIT環境や運用体制について評価・改善を行い、IT統制の見直しを図ることが重要です。

▼IT統制の主な評価項目

• システムの開発や保守運用が有効に運用されているか
• システムの安全性が確保されているか
• システムの入力情報について完全性・正確性・正当性が確保されているか
• エラーデータの修正や再処理の機能が確保されているか
• システムの利用に関する認証・操作範囲の設定などのアクセス管理が行われているか　など

出典：金融庁『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）』

まとめ

この記事では、IT統制について以下の内容を解説しました。

• IT統制の目的と種類
• 内部統制基準の改訂によるIT統制への影響
• IT統制を進める際のポイント

企業の内部統制を実現するには、IT統制の構築と運用が必要です。IT統制を有効に機能させることで、ITシステムの効果的な利活用やリスク管理の強化につながります。

IT統制を進める際は、社内のシステムや障害対応などに関する運用ルールを策定するとともに、職務について相互牽制の仕組みを整備して属人化を解消すること、定期的な評価・改善を行うことがポイントです。

また、IT人材の不足によって現場の属人化が生じていたり、IT統制以外の業務が負担になっていたりする場合には、ITアウトソーシングを利用して社内のシステム担当者がIT統制に集中できるようにすることも有効です。

『FGLテクノソリューションズ』の社内システム運用管理サービスでは、ITインフラの運用管理に関するさまざまな業務をサポートしています。ITインフラの構築やシステムの運用管理、保守に至るまできめ細かなサービスを用意しており、IT統制の構築・運用を支援します。

サービスの詳細については、こちらの資料をご確認ください。