「IT統制への対応って難しそう」「内部監査が近づいてきて不安」という悩みを抱えていませんか?
近年、企業のデジタル化が加速する中、IT統制の重要性がますます高まっています。
特に、15年ぶりに改訂された「内部統制報告制度(J-SOX)」への対応は、多くの企業にとって喫緊の課題です。
そこで本記事では、IT統制の基本から実践的なポイントまで分かりやすく解説します。最後までお読みいただければ、自信を持って内部監査に臨めるうえ、会社全体のセキュリティ体制強化にもつながるはずです。
特に情報システム部門の方や内部監査部門の方など、内部監査への準備にお悩みの方は、ぜひ参考にしてください。
IT統制は内部統制の1つ
IT統制は、企業の内部統制システムにおいて役割を果たしています。まず、ここではIT統制の概要とその重要性について解説します。
そもそも内部統制とは
内部統制とは、企業が健全かつ効率的に運営するために構築される仕組みのことです。具体的には、以下の4つの目的を保証するシステムを指します。
- 業務の有効性および効率性
- 財務報告の信頼性
- 事業活動に関わる法令などの遵守
- 資産の保全
要するに内部統制とは、会社ルールの整備や運用業務方法のシステム化を行うことで、誰が働いていても上記の4つの目的が保証されるような仕組みを作ることを意味します。
これにより、企業は安定した経営と信頼性の高い業務遂行を実現できます。つまり、内部統制は単なるルール作りではなく、企業全体の健全性を維持するための包括的なシステムだということです。
15年ぶりに「内部統制報告制度(J-SOX)」が改訂された
ITの進化は目覚ましく、企業環境も急速に変化しています。クラウドの活用やリモートワークの普及など、ビジネスのデジタル化が加速する中、15年ぶりに「内部統制報告制度(J-SOX)」が改訂され、2024年4月以降の決算期から適用されます。
ITを利用した内部統制の評価のなかで、金融庁は「経営者はIT環境の変化を踏まえて慎重に判断し、必要に応じて監査人と協議を行うべきである」と指摘しています。変化するIT環境に対応した内部統制の重要性を強調したのです。
ただし、これまでのJ-SOX対応の一環で整備・運用してきたIT統制の基本的な考え方は変わりません。大切なのは、新しいシステムの導入やリモートワーク時の情報セキュリティなど、現在のIT環境に即したIT統制の整備・運用を行うことです。
要するに、この改訂は、企業に対してIT環境の変化に柔軟に対応しつつ、適切なIT統制を維持することを求めているのです。
参考:企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
IT統制の必要性とは
内部統制は以下の6つの要素で構成されており、そのうちの「ITへの対応」が「IT統制」を担っています。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング(監視活動)
- IT(情報技術)への対応
IT統制とは、社内のITに関連する事項をシステム化して管理することを指します。現代の日本企業では、多くの業務がIT化されているため、IT統制は極めて重要な業務です。
IT統制の必要性は、内部統制全体の有効性を高める点にあります。ITを有効かつ効率的に使うことで、内部統制の4つの目的についても効果的に達成させることができるのです。
例えば、適切なIT統制により、データの正確性が向上することで、財務報告の信頼性が高まります。また、アクセス管理を徹底することで、資産の保全にも寄与します。
つまり、IT統制が単なる技術的な管理ではなく、企業全体の内部統制を支える基盤として必要だと言えるのです。
IT統制は情報システム部門と内部監査部門が行う
効果的なIT統制を実施するためには、複数の部門が協力して対応しなければなりません。特に、情報システム部門と内部監査部門の連携が鍵となります。
情報システム部門は、ITインフラやシステムの技術的側面に精通しており、セキュリティ対策やシステムの運用管理に強みがあります。一方、内部監査部門は、企業全体のリスク管理や法令遵守の観点から、IT統制の有効性を評価する能力に長けています。
この部門がそれぞれの得意分野を活かしつつ、互いを補完し合うことで、より強固なIT統制を実現可能です。例えば、情報システム部門が技術的な対策を講じる一方で、内部監査部門がその対策の有効性を客観的に評価するといった連携が考えられます。
要するに、IT統制の成功には、部門間の協力と相互補完が不可欠です。この協力体制により、企業は包括的かつ効果的なIT統制を構築し、維持できるでしょう。
IT全般統制を構成する4つの要素
IT全般統制を構成する4つの要素は以下の通りです。
- システムの開発、保守に係る管理
- システムの運用・管理
- 内外からのアクセス管理などシステムにおける安全性の確保
- 外部委託に関する契約の管理
この要素を適切に整備・運用することで、IT環境全体の信頼性と安全性を確保し、財務報告の信頼性を支える基盤を構築できます。それでは、各要素について詳しく見ていきましょう。
要素①:システムの開発、保守に係る管理
システムの開発、保守に係る管理とは、経営者の方針に沿った情報システムを構築するために、社内のITインフラを適切に整備・運用することを指します。
具体的には、以下のような業務です。
- システムの開発や変更に対する承認・否認プロセス実施や記録の保存
- システムの開発に関する事前テストの実施
この管理を適切に行うことで、経営目標に合致した信頼性の高い情報システムを構築・維持できます。また、不適切な変更や未承認の開発を防ぐことで、財務報告の信頼性を確保できます。
要するに、システムの開発、保守に係る管理は、ITインフラの品質と整合性を確保するための要素です。
要素②:システムの運用・管理
システムの運用・管理とは、情報システムを安定的に稼働させ続けるための運用ルールのことです。この要素には、以下のような業務が含まれます。
- 障害の管理
- ソフトウエア・ハードウェアの管理
- ネットワークの管理
- 変更履歴の収集や管理
- 保存データの定期的なバックアップ
この業務を適切に実施することで、システムの安定稼働を確保し、データの完全性を維持できます。また、問題が発生した際の迅速な対応や、データ損失のリスク低減にもつながります。
つまり、システムの運用・管理が日常的かつ継続的に行われる必要があるということです。定期的なチェックや監視、そして問題発生時の迅速な対応が、財務報告の信頼性を支える基盤となります。
要素③:内外からのアクセス管理などシステムにおける安全性の確保
内外からのアクセス管理などシステムにおける安全性の確保とは、会社のシステムに関するセキュリティ強化やリスク対策を行うことを指します。具体的には、以下のような業務が挙げられます。
- アクセス権限の設定や変更
- アクセス者のIDの設定や管理
- コンピューターウイルス対策
この対策を適切に実施することで、不正アクセスや情報漏えいのリスクを低減し、システムとデータの安全性を確保できます。要するに、情報セキュリティの観点から財務報告の信頼性を支える役割を果たすものだということです。
適切なアクセス管理とセキュリティ対策により、財務データの完全性と機密性を保護できます。
要素④:外部委託に関する契約の管理
外部委託に関する契約の管理とは、ITにかかわる業務を他社に依頼する場合に行う契約・内容確認・監査業務のことを指します。外部委託先に関するトラブルを避けるには、以下のような点に注意が必要です。
- セキュリティに関する要件を契約書に明記する
- 委託業務に関する評価の実施について契約書に明記する
この管理を適切に行うことで、外部委託先のリスクを適切に管理し、財務報告の信頼性を確保できます。大切なのは、外部委託先の選定から契約締結、そして業務の監督に至るまで、一貫した管理体制を構築することです。
これにより、外部委託に伴うリスクを最小限に抑え、IT全般統制の有効性を維持できます。
IT業務処理統制を構成する4つの要素
IT業務処理統制は、財務報告の信頼性を確保するために役割を果たします。ここでは、IT業務処理統制を構成する以下の主な4つの要素について解説します。
- 入力情報の完全性、正確性、正当性等を確保する統制
- 例外処理(エラー)の修正と再処理
- マスタ・データの維持管理
- システムの利用に関する認証、操作範囲の限定などアクセスの管理
この要素を適切に整備・運用することで、IT環境下での業務プロセスの信頼性が高まり、結果として財務報告の信頼性向上につながります。それでは、各要素について詳しく見ていきましょう。
要素①:入力情報の完全性、正確性、正当性等を確保する統制
入力情報の品質を確保することは、IT業務処理統制の基本です。主に、システムに入力されるデータが適切であることを保証するための統制活動を指します。
例えば、データ入力時に不適切な空欄が発生した場合、エラーメッセージを表示してデータ処理を中断するようなソフトウエアの使用が、この統制の一例です。
こうした仕組みにより、不完全または不正確なデータがシステムに取り込まれることを防ぎ、財務報告の基礎となる情報の信頼性を高めることができます。
入力管理の具体的な方法としては、以下のようなものが考えられます。
- 入力フォームでの論理チェック(例:日付形式の確認)
- 必須項目の入力漏れチェック(例:空欄がないかの確認)
- 入力値の範囲チェック(例:金額が負の値でないことの確認)
- 重複入力のチェック(例:同じ内容が直近にないかの確認)
要するに、入力段階でのエラーを防ぎ、正確なデータをシステムに取り込むことが、この要素の目的です。後続の処理や最終的な財務報告の信頼性が確保されるのです。
要素②:例外処理(エラー)の修正と再処理
業務を進める上で、ミスや変更が発生することは避けられません。そのため、エラーが発生した際に適切に修正し、再処理できる仕組みを整えることが重要です。
この要素は、システムがエラーを検出した際に、適切に処理し、必要に応じて修正・再処理を行う機能を指します。
ただし、一般的な業務用ソフトウエアの場合、入力ミスが起こっても修正できるようになっていることが多いため、この要素は既に組み込まれていることが一般的です。
エラー処理と再処理の具体例としては、以下が挙げられます。
- エラーログの自動生成と管理者への通知
- エラーデータの一時保存と修正機能
- 修正後のデータの再処理機能
- エラー修正履歴の記録と追跡機能
いずれにおいても大切なのは、エラーが発生した際に、適切に検出し、修正し、再処理できる仕組みを整えることです。これにより、データの正確性が保たれ、財務報告の信頼性が確保されます。
要素③:マスタ・データの維持管理
マスタデータは、業務を遂行する上で必要となるデータの中でも特に重要なものです。このデータを適切に保存し、管理することが、この要素の目的です。
マスタデータの例としては、顧客情報、製品情報、取引先情報などが挙げられます。このデータは、日々の取引処理や財務報告の基礎となるため、最新データを正確に保つことが極めて重要です。
マスタデータの維持管理には、以下のような活動が含まれます。
- 定期的なデータの見直しと更新
- マスタデータの変更に関する承認プロセスの設定
- マスタデータへのアクセス権限の管理
- マスタデータの変更履歴の記録と追跡
要するに、マスタデータを問題なく保存し続けることで、日々の業務処理の正確性を確保し、結果として信頼性の高い財務報告につながるものです。
要素④:システムの利用に関する認証、操作範囲の限定などアクセスの管理
システムの利用に関する認証、操作範囲の限定などアクセスの管理は、各種システムへのアクセス権を制限・管理することを指します。適切なアクセス管理は、不正アクセスや誤操作によるリスクを低減し、財務報告の信頼性を確保する上で役割を果たします。
例えば、会社内のITシステムに対して、すべての従業員が制限なくアクセスできる状況では、誤操作によって予期せぬトラブルが発生しかねません。また、従業員がITシステムを自由に変更できてしまうと、社内システム全体に影響が出てしまい、業務が滞るケースも考えられます。
アクセス管理の具体的な方法としては、以下が挙げられるでしょう。
- ユーザーIDとパスワードによる認証
- 役割ベースのアクセス制御(RBAC)の導入
- システムへのアクセスログの記録と定期的なレビュー
- 定期的なアクセス権限の見直しと更新
大切なのは、トラブルを起こさないために、システムへのアクセス権限は限られた人にのみ与えることです。システムの安全性が確保され、財務報告の信頼性向上につながります。
IT統制を行う手順とポイント
IT統制を効果的に実施するためには、体系的なアプローチが必要です。ここでは、IT統制を行う際の主要な手順とポイントについて紹介します。
- 現状を把握する
- 目標と現状のギャップを分析する
- 運用ルールを制定する
- 評価・改善を行う
上記の4つのステップを順に見ていきましょう。
ステップ①:現状を把握する
IT統制の第一歩は、自社の現状を正確に見極めることです。この段階では、主に以下の2点に焦点を当てて確認を行います。
- システムの整備状況
- 社内規程や運用ルールの状況
システムの確認においては、自社で使用しているすべてのITシステムを洗い出し、一覧にまとめることが重要です。この作業により、IT統制が十分に行われている領域と、改善が必要な領域を明確に識別できます。
同時に、ITの運用に関する社内規程の有無や内容、各システムの具体的な運用ルールについても確認しましょう。
例えば、アクセス権限の管理方法やデータバックアップの頻度など、細部にわたる運用状況を把握します。この段階で得られた情報が、効果的なIT統制の構築につながるのです。
ステップ②:目標と現状のギャップを分析する
現状把握が完了したら、次は理想的なIT統制の状態(目標)と現状とのギャップを分析します。IT統制の目標は、IT全社統制、IT全般統制、IT業務処理統制の3つの統制方法がすべて適切に機能している状態を指します。
ギャップ分析では、各統制方法において不足している要素(課題)を洗い出しましょう。下記の表に、例を挙げました。
| 統制方法 | 課題 |
|---|---|
| IT全社統制 | IT方針や戦略が明確でない |
| IT全般統制 | システム開発や変更管理が標準化されていない |
| IT業務処理統制 | 業務システムに承認機能が不足している |
このように、具体的な課題を特定することで、改善すべき点が分かりやすくなります。
ポイントは、単に課題を列挙するだけでなく、それぞれの課題がもたらすリスクや影響度も考慮することです。これにより、優先順位を付けて効率的に改善を進めることができます。
ステップ③:運用ルールを制定する
ギャップ分析で特定された課題に対処するため、次は具体的な運用ルールを制定しましょう。IT統制では、以下のような評価項目をカバーする運用ルールが必要です。
- システム開発に関する手順書
- システム変更に関する手順書
- バックアップの取得に関する手順書
- バックアップ管理に関する手順書
- 障害対応に関する手順書
- 入退室管理に関する手順書
- アクセス管理に関する手順書
- アクセス権に関する定義書
- 外部委託管理に関する手順書
この運用ルールでは、ITに関する作業手順や申請のルートなどを明確に定めます。大切なのは、現行のシステムや組織体制との整合性を取りながら、自社の実情に即した文書を作成することです。
ただし、運用ルールを過度に複雑化させると、不具合のリスクは減る一方で、担当者の業務負荷が増大し、結果的にルールが形骸化するリスクもあります。したがって、統制の効果と業務効率のバランスを考慮しながら、適切な運用ルールを制定することが大切です。
ステップ④:評価・改善を行う
IT統制の最終ステップは、導入したシステムや運用ルールの評価と改善です。システム導入直後から、従業員が完璧に運用できることは少ないでしょう。
そのため、実際の運用過程で発生する問題点を把握し、継続的に改善を行うことが重要です。具体的には以下のような活動が挙げられます。
- 定期的な運用状況の監査
- ユーザーからのフィードバック収集
- 新たなリスクや脅威への対応
- 技術の進化に合わせたシステムの更新
この活動を通じて、使い方やオペレーションを改善していくことで、IT統制はより強固なものとなっていきます。要するに、評価・改善は一度きりの作業ではなく、継続的なプロセスです。
常に変化するIT環境や業務要件に適応し、効果的なIT統制を維持するためには、このステップを繰り返し実施することが不可欠です。
会社のITリスクを低減するために気を付けるポイント
企業のIT統制において、監査法人が特に注意を払うべき3つのポイントがあります。
- パスワードを推測されにくいものに変更する
- データの管理方法やバックアップ体制を整える
- ビジネスプロセスが健全・安全かを見直す
このポイントを押さえることで、会社のITリスクを低減できます。以下に、具体的な対策を詳しく見ていきましょう。
ポイント①:パスワードを推測されにくいものに変更する
パスワードは、企業のITセキュリティの最前線です。しかし、多くの企業でパスワードに関する意識の緩さが問題となっています。
例えば、推測されやすい番号の使用、従業員どおしや部門内でのパスワード共有、短い桁数、長期間更新されていないパスワードなどが典型的な問題です。この問題を改善するためのポイントは以下のとおりです。
- パスワードの桁数を増やし、英数字、大文字小文字、記号を混ぜた複雑なものに設定する
- 社内でパスワード管理を徹底し、共有を避ける
- 定期的(例:3か月ごと)にパスワードを更新する
この対策を実施することで、不正アクセスのリスクを低減できます。
そのためには、パスワード管理の重要性を全従業員に周知し、セキュリティ意識の向上を図ることが大切です。
ポイント②:データの管理方法やバックアップ体制を整える
現代の企業活動において、ペーパーレス化が進み、デジタルデータの重要性が増しています。そのため、データの適切な管理とバックアップ体制の整備が不可欠です。
以下の点をチェックし、必要な対策を講じましょう。
- 誤って削除されたデータが復旧できる状態か
- データへの不正アクセス対策は十分か
- 個人情報や機密情報の取り扱いについて、適切な保護措置が講じられているか
この点を確認し、必要に応じて改善することで、データの安全性と可用性を高めることができます。定期的なバックアップの実施、アクセス権限の適切な設定、暗号化技術の導入などが効果的な対策となります。
また、クラウドサービスの利用も検討し、データの冗長性を確保することも重要です。
ポイント③:ビジネスプロセスが健全・安全かを見直す
IT統制の効果を最大化するには、ビジネスプロセス全体の健全性と安全性を確保する必要があります。以下の点を重点的に見直しましょう。
- 業務プロセスの中で不正が行われないような設計になっているか
- 企業のセキュリティポリシーが策定され、従業員に周知されているか
- 定期的な内部監査が実施され、IT統制の有効性が評価されているか
- 従業員に対するIT統制に関する教育と訓練が適切に行われているか
この点を確認し、必要な改善を行うことで、より強固なIT統制体制を構築できます。特に、セキュリティポリシーの策定と周知、定期的な内部監査の実施、そして従業員教育は、IT統制の基盤となる要素です。
また、業務プロセスの定期的な見直しと改善を行うことで、新たなリスクにも適切に対応できる体制を整えることができます。
DXに対応した内部統制の構築における問題点と解決策
デジタルトランスフォーメーション(DX)が進む中、多くの企業が内部統制の構築に課題を抱えています。デロイト トーマツの調査結果によると、主な問題点として以下が挙げられます。
- DX化において内部統制に対する観点が不足している
- 内部統制DXに向けた専門性に欠ける
- 第2線・第3線によるモニタリングがDXに対応できていない
この課題に対処するためには、まず経営層がDXと内部統制の重要性を理解し、全社的な取り組みとして推進することが重要です。また、IT部門と内部統制部門の連携を強化し、DXに対応した新たな内部統制の枠組みを構築する必要があります。
しかし、自社だけでの対応が難しい場合もあります。そのような場合、経理DX支援やアウトソーシングの利用を検討するのも1つの有効な解決策です。
専門家のサポートを受けることで、最新のテクノロジーと内部統制の知見を組み合わせた効果的なDX対応が可能となります。自社の状況を正確に把握し、必要に応じて外部リソースを活用することで、この課題を克服し、競争力のある企業体制を築くことができるのです。
IT統制にお悩みの場合はReaLightへ
IT統制は、企業の健全な運営と信頼性確保に不可欠です。内部統制の一環として、システムの開発・保守、運用管理、セキュリティ確保、外部委託管理など多岐にわたる要素を適切に整備・運用してください。
また、効果的なIT統制の実現には、現状把握、ギャップ分析、運用ルールの制定、そして継続的な評価・改善が必要です。特に、パスワード管理の強化やデータのバックアップ体制の整備、ビジネスプロセスの見直しは、ITリスク低減の鍵となります。
とはいえ、DXの推進に伴い新たな内部統制の枠組み構築も求められるため、自社だけでの対応は困難を極めます。そのような場合は、ReaLightの経理DX支援やアウトソーシング、人材支援サービスの活用をご検討ください。
IPO準備や法令基準対応のための運用体制構築まで、幅広くサポートいたします。より強固なIT統制を構築し、企業価値の向上を目指しましょう。