IT統制とは、情報システムに関するリスクを適切に管理し、信頼性のある業務運用を実現するための仕組みです。企業のIT化が進むにつれて、財務報告や業務プロセスにおけるシステム依存度は高まっており、上場企業をはじめとする法人にとって、IT統制は避けて通れない要素となっています。
特にJ-SOX法では、内部統制の一環としてIT統制の整備・運用が求められており、制度への理解と実践が必要です。
本記事では、IT統制の基本的な考え方やIT全社的統制、IT全般統制、IT業務処理統制の3つの分類などを詳しく解説します。
目次
成長企業の会計管理を柔軟に効率よく
freee会計は、会計をはじめとした全業務を集約化し、業務ツールごとの多重入力がいりません。シンプルで使いやすく業務の自動化が進みます。リアルタイムレポートの活用で、経営判断の高速化が可能に。
IT統制とは
IT統制とは、企業がITシステムに関するリスクを適切に管理し、業務の信頼性を確保するための体制を整えることです。
情報のデジタル管理が一般化するなか、データの改ざんや不正アクセスのリスクだけでなく、従業員による不適切なアカウント使用やリモートワーク中の不正行動の抑止も重要な視点です。
こうしたIT環境の脆弱性に対応するために、IT統制の重要性はますます高まっています。
内部統制との違い
IT統制と内部統制は、どちらも健全な経営を行ううえで必要とされている仕組みです。
IT統制は、内部統制の一部として位置付けられており、特にJ-SOX法(内部統制報告制度)によって上場企業に求められています。J-SOX法とは、金融商品取引法に基づいて上場企業とその子会社・関連会社が行う内部統制報告制度で、財務報告の信頼性を確保することを目的としています。
一方で内部統制は、企業全体の業務の適正さを管理する仕組みです。IT統制はその中でも、システムの運用やデータ処理の信頼性を支える役割を担います。
【関連記事】
J-SOX法(内部統制報告制度)とは?概要や対象企業の対応についてわかりやすく解説
ITガバナンスとの違い
IT統制とITガバナンスは、どちらもITの適切な運用を目的としていますが、その役割には違いがあります。
IT統制は、業務におけるシステムの運用がルールに従って適切に行われているか管理することです。たとえば、不正アクセスを防ぐためのセキュリティ対策、業務システムのモニタリングや従業員による会社のSNSアカウントを使った不適切な発言の防止などが該当します。
一方、ITガバナンスは経営の視点から、IT投資やIT戦略が企業方針に合っているかを管理します。具体的には、ITに関する意思決定の枠組みや責任体制を明確にし、IT投資が経営目標にどう貢献するかを可視化する役割を担います。
そのため、IT統制が現場での運用管理を対象とするのに対し、ITガバナンスは全社レベルでの戦略的なIT管理に焦点を当てている点が大きな違いです。
IT統制が重要な理由
適切なIT統制が実施されていない場合、社内システムの運用が非効率なものとなり、無駄な作業などが発生して、業務効率が低下する可能性があります。また、IT統制に不備があると機密情報が漏洩するリスクもあり、企業の信頼を失ったり法的措置に発展したりすることも考えられます。
近年はデジタルマーケティングやテレワーク環境の導入を積極的に進めている企業が多く、IT統制の重要性はさらに高まっているでしょう。例えば、SNSで企業イメージを損なう投稿や、勤務実態の把握があいまいなことによる労務管理上の問題などが発生する可能性があります。
このように、IT統制は単なる技術的な管理業務ではなく、企業の持続的成長と競争力維持のための戦略的な経営基盤として位置づけられるべき重要な要素です。
IT統制が必要な企業
IT統制が必要な企業としては、上場企業が挙げられます。上場企業については、金融商品取引法(第24条)で内部統制報告書の提出が義務付けられており、IT統制はその内容に含まれています。
また、義務ではないものの、上場を目指す企業もIT統制を行っておくとよいでしょう。上場審査の対象となる確認事項や作成書類は内部統制を整備するうえで発生するプロセスと重複する部分が多く、IT統制をしておくと上場の準備が円滑に進みやすくなります。
【関連記事】
内部統制とは?4つの目的と6つの基本的要素について分かりやすく解説
IT統制の種類
IT統制には主に「IT全社的統制」「IT全般統制(ITGC)」「IT業務処理統制(ITAC)」の3種類が存在しており、それぞれ役割が異なります。
IT全社的統制
IT全社的統制とは、子会社も含めた組織全体の情報システム環境を適切に管理し、ITに関するリスクを抑える仕組みのことです。
経営レベルでの統制を整えることが特徴で「統制環境」「リスク評価」「統制活動」「情報とコミュニケーション」「モニタリング」などの要素で構成されています。たとえば、会社全体の情報システム運用の基本方針を明確化したり、社内全体でリスクを評価して対策を講じたりする活動が該当します。
IT全社的統制には、経営リスクの低減やコンプライアンスの遵守、企業が持つ重要な情報資産の保護などがメリットだといえるでしょう。
IT全般統制(ITGC)
IT全般統制(ITGC)とは、企業が利用する情報システムを適切に管理し、企業情報の信頼性を維持するための統制活動のことです。主に「システムの開発・保守管理」「システム運用・管理」「アクセス管理」「外部委託管理」などで構成されています。
IT全般統制には、IT業務処理統制の基盤となって情報システム全体の信頼性を高め、安定した稼働を支える役割があります。
たとえば、社内で使用されるシステムに対し権限を限定したり、システム変更時のルールを定めたりすることで、不正アクセスや情報漏えいといったリスクを抑えられるでしょう。
IT業務処理統制(ITAC)
IT業務処理統制(ITAC)とは、業務で利用するアプリケーションやシステムで行われる個々の処理・記録を統制する仕組みのことです。主に「入力統制」「処理統制」「出力データの管理」「マスターデータ管理」などで構成されています。
具体的には、会計システムや販売管理システムに入力されるデータが承認済みの正しいものか確認したり、出力された帳票やレポートの内容を定期的にチェックしたりします。
業務データの正確性・完全性・正当性が確保され、不正処理やデータ改ざんを防止することが可能です。
IT統制を担う部門
社内でIT統制を行う際は「情報システム部門」と「内部監査部門」の2つの部門が携わるケースが一般的です。それぞれの役割について紹介します。
情報システム部門
情報システム部門は、ITインフラの設計・開発・構築から運用・保守まで一貫して管理し、システム全体をコントロールすることが求められています。自社のITシステムにおけるリスクを考えながら構築もしていくため、IT統制において重要な役割を持つ部門です。
高い専門性を発揮しながらIT統制に携わる一方で、自分で構築したITシステムを客観的に評価することが難しいといった点には注意しましょう。技術的な側面に重点を置くだけでなく、全社的な視点も備えた体制の構築が重要です。
内部監査部門
内部監査部門は、IT統制における独立的監視機能を担い、情報システム部門が構築・運用するITシステムに対して客観的な評価・監査を実施します。同一組織内でありながら、システムの開発・運用には直接関与せず、第三者的立場から統制の有効性を検証します。
内部監査部門には、ITに関する一定の知識・スキルに加え、全社的な視点からリスク評価を行う能力も重要です。財務報告の信頼性、業務の有効性・効率性、法令遵守といった多角的な観点から、ITシステムが企業目標の達成に適切に貢献しているかを判断します。
IT統制を構築する際のプロセス
IT統制は一度で整備できるものではなく、段階的に構築・改善を進めていく必要があります。IT統制を構築する際のプロセスについて詳しく解説します。
STEP1.現状を把握する
IT統制の構築を始める場合、まずは現状の統制状況を正確に把握することが大切です。この際は「システム」と「業務・ルール」の2つの観点で確認を行うとよいでしょう。
「システム」の観点では、会計システムや販売管理システム、営業支援ツールなど、社内で利用しているITシステムを洗い出します。一方「業務・ルール」では、社内規定がきちんと整備されているか、また業務プロセスの流れに問題がないかを把握します。
これらの調査をもとに「全社的なIT統制」「IT全般統制(ITGC)」「IT業務処理統制(ITAC)」に対応できている状態や現状のギャップを分析することが重要です。
STEP2.IT統制を構築する
次に、現状分析で見つかったギャップを埋めるために、実際にIT統制に対応したシステム選定や社内規定の整備を行います。
また、情報セキュリティを強化するために、アクセス権限を適切に管理する仕組みを確立することも欠かせません。さらに、外部委託先を含む管理体制の見直しや、システム開発・運用の標準的な運用ルールを整えることも求められます。
システムを新規導入またはリプレイスする際は、1年程度の期間がかかる場合もあるため、計画的に取り組みましょう。
STEP3.運用しながら評価・改善を続ける
IT統制の構築後も、継続的な評価・改善が必要です。IT統制が有効に機能しているかどうかは、日々の運用を通じて現場の負荷や実効性を定期的に確認することで判断できます。
また、内部監査や外部監査を定期的に実施して客観的な視点からIT統制の有効性を評価することも効果的です。
万が一問題点が見つかった場合は、迅速に改善措置を講じる必要があります。さらに、定期的な社内研修や教育を実施し、IT統制の重要性の理解を促進することも大切です。
まとめ
IT統制は上場審査やJ-SOX法への対応において、企業の信頼性を証明する重要な土台となります。特に財務データや業務プロセスの正確性を担保するうえで、IT統制の整備は避けて通れません。
信頼を得るには「IT全社的統制」「IT全般統制(ITGC)」「IT業務処理統制(ITAC)」の3つをバランスよく構築し、継続的な改善を進めていく必要があります。上場を見据えた準備として、今のうちからIT統制の体制を見直し、強化しておきましょう。
freeeで内部統制の整備をスムーズに
IPOは、スモールビジネスが『世界の主役』になっていくためのスタート地点だと考えています。
IPOに向けた準備を進めていくにあたり、必要になってくる内部統制。自社において以下のうち1つでも該当する場合は改善が必要です。
- バックオフィス系の全てのシステムにアクセス権限設定を実施していない
- 承認なく営業が単独で受注・請求処理を行うことができる
- 仕入計上の根拠となる書類が明確になっていない
freee会計のエンタープライズプランは内部統制に対応した機能が揃っており、効率的に内部統制の整備が進められます。
内部統制対応機能
- 不正防止(アクセスコントロール)のための、特定IPアドレスのみのアクセス制限
- 整合性担保(インプットコントロール)のための、稟議、見積・請求書発行、支払依頼などのワークフローを用意
- 発見的措置(モニタリング)のための、仕訳変更・承認履歴、ユーザー情報更新・権限変更履歴などアクセス記録
- 国際保証業務基準3402(ISAE3402)に準拠した「SOC1 Type2 報告書」を受領
詳しい情報は、内部統制機能のページをご確認ください。
導入実績と専門性の高い支援
2020年上半期、freeeを利用したマザーズ上場企業は32.1%。freeeは多くの上場企業・IPO準備企業・成長企業に導入されています。
また、freeeではIPOを支援すべく、内部統制に関する各種ツールやIPO支援機関との連携を進めています。
内部統制を支援するツール・連携機能
IPOに向けた準備をお考えの際は、freeeの活用をご検討ください。
よくある質問
IT統制と内部統制の違いは何ですか?
IT統制は、内部統制の一部に該当し、企業のITシステムに関連するリスク管理を担う仕組みのことです。一方、内部統制は企業全体の業務の適正さを管理するための仕組みです。
詳しくは「内部統制の違い」をご覧ください。
IT統制とITガバナンスの違いは何ですか?
IT統制は、日常業務におけるシステム運用が適切に行われているか管理する手段です。一方でITガバナンスは、企業の経営戦略と一致したIT活用を推進するための仕組みです。ITガバナンスのほうが、より経営層の視点に近い取り組みとなります。
詳しくは「ITガバナンスとの違い」をご覧ください。
IT統制にはどのような種類がありますか?
IT統制は「IT全社的統制」「IT全般統制(ITGC)」「IT業務処理統制(ITAC)」の3つに分類されます。それぞれが企業の情報システムや業務プロセスの信頼性を支える役割を担っています。
詳しくは「IT統制の種類」をご覧ください。
