IT統制とは?目的や進め方について解説
金融庁の公表と、昨今の社内システムの複雑化によってIT統制の重要性が認知されてきています。さまざまな社内システムがIT化している現在では、適切なIT統制が必要です。
今回の記事では、IT統制の概要や進め方、評価対象となるポイントを解説します。
目次
IT統制とは?
IT統制とは、企業がITに関するリスクを適切に管理し、ITリスクをコントロールする仕組みを構築・運用するための活動です。金融庁が公表する「財務報告に係る内部統制の評価及び監査の基準」では、内部統制の4つの目的を達成するために6つの基本的要素が定められており、その中でも「ITへの対応」が重要視されています。
IT統制は、他の要素と独立して存在するものではなく、リスク評価や統制活動、情報と伝達、モニタリングなどの他の基本要素とも深く関連し、内部統制を達成するためには欠かせません。 IT統制は組織全体の内部統制において重要な役割を担い、組織の目標達成や法令遵守を支える基盤として位置付けられています。
出典:金融庁/財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)
IT統制が求められる理由
近年、企業では多くの業務が紙媒体からITへとシフトしており、デジタル化が進む中でIT統制が求められています。社内のITシステムは年々複雑化し、管理が不十分な場合、業務の非効率化や情報漏えい、データの紛失などのリスクが発生しやすくなります。場合によっては企業に重大な損失をもたらす可能性もあるでしょう。
また、リモートワークの普及により、従業員が自宅やカフェなど多様な場所からシステムにアクセスする機会が増加し、加えてSNSを活用した広報活動の増加によって、システムの利用環境も一層多様化しています。
このような背景から、ITリスクを適切に管理し、システム全体に対するセキュリティと運用の統制を確保することが、企業の運営や信頼性の確保に不可欠です。
内部統制とは?
内部統制とは、「企業が健全な経営を行うために、業務の有効性及び効率性、財務報告の信頼性、事業活動 に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な 保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセ ス」であると意見書に記載されています。企業が健全な活動を進めるためには、各業務プロセスが効率的かつ適切に実行され、財務報告において誤りのない情報が提供されなければなりません。また、不正や不適切な処理を防ぎ、法令を遵守することも必要です。
内部統制は、組織全体でのルールやプロセスの整備、定期的な監査や評価によって維持され、企業のリスク管理を強化し、経営の健全性を支える役割を果たします。また、内部統制の一環としてIT統制も含まれており、ITシステムの運用管理やセキュリティ対策を通じて、情報資産やシステムの安全性・信頼性を確保していくことが必要です。
IT統制の種類
IT統制は次の3つに分類されています。
- IT全社統制
- IT全般統制(ITGC)
- IT業務処理統制(ITAC)
それぞれの内容を解説します。
IT全社統制
IT全社統制は、経営レベルでITに関するリスクや管理を統括し、組織全体の健全なIT運営を支える仕組みです。この統制は次の要素で構成されています。
- ITに関する基本方針の作成と明示
- ITに関するリスクの評価と対応
- 統制手続の整備と周知
- 情報伝達の体制と仕組の整備
- 全社的な実施状況の確認
ITに関する基本方針を策定し、セキュリティや研修などの指針を明確に示します。基本方針は単なる文書化で終わらせず、社内研修や社内ネットワークを通じて全従業員と共有し、部門を越えた統一的な理解と実践を促進することが必要です。
IT全般統制(ITGC)
IT全般統制(ITGC)は、ITシステムを適切に運用、管理する仕組みです。 次の4つの要素が具体的な例として挙げられています。
- システムの開発、保守
- システムの運用・管理
- 内外からの アクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
近年では、社内で使用するシステムの複雑化に伴い、情報漏えいや不正アクセスの被害が増えてきています。そのため、アクセス管理の重要性がより増してきています。
IT業務処理統制(ITAC)
IT業務処理統制(ITAC)は、企業内部のIT処理に関する手続きや手順のルールを定め、業務が的確に遂行され、情報が適切に記録されることを担保するための統制です。
ITACは、業務プロセスを体系的に管理することで、信頼性の高いデータ処理と一貫した業務運営を支援します。IT業務処理統制には、入力ルールやスプレッドシートのアクセス権、業務の完了確認などの細かいルールが含まれており、業務の各段階で適切な統制が図られなければなりません。
たとえ完全自動化されたシステムであっても、正確さを検証するために意図的にエラー情報を入力して確認するなど、人の手による評価も必要です。
IT統制の進め方
IT統制の進め方として次の4つのステップがあります。 それぞれのステップの詳細をみていきましょう。
1.現状把握・ギャップの明確化
IT統制を進める際の第一歩は、社内で使用しているすべてのシステムと、その運用に伴うルールを一度棚卸することです。特に、会計システムや販売システムなど事業の根幹となるシステムは、より詳細に現状を把握し、運用状況やセキュリティの状況も含めて精査しなければなりません。
その上で、IT統制の目標値を定め、理想的な統制状態とのギャップがどの程度あるのかを明確にします。ギャップの可視化により、どの部分が改善を必要としているかが浮き彫りとなり、統制体制の強化やリスク管理の向上に向けた具体的なアクションプランを策定する基盤が整えられるでしょう。
2.環境の構築
次に、IT統制を実現するために環境の構築計画を立てることが重要です。環境の構築計画には、IT全般統制(ITGC)やIT業務処理統制(ITAC)の整備が含まれます。現状把握とギャップの明確化によって浮き彫りとなったシステムの脆弱性を防ぐために、セキュリティ対策の不足部分を強化し、情報漏えいや不正アクセスのリスクを抑えることも重要です。
さらに、外部委託先の管理強化も必要で、委託業務に関するリスクを適切に評価し、統制を維持する仕組みを導入しなければなりません。
3.評価・改善
システムを更新した後は、その効果や機能を評価し、発見された課題に基づいて改善を繰り返すことで、より強固で安全なシステムへとアップデートしていかなければなりません。システムを実際に運用すると、計画段階では見えなかった現実的な課題が表面化することがあり、課題に対して柔軟に対応することが求められます。
また、社員からの評価も受け入れ、運用に関するフィードバックを反映させることで、より実用的で効率的な統制環境の構築が可能です。評価と改善のプロセスは一度きりでなく、定期的に実施し続けることで、変化するリスクや環境に適応し続けられます。
4.保守・運用
IT統制の保守・運用を進めるにあたっては、統制ポリシーの徹底と社員向けの定期的な研修が重要です。運用段階では、ポリシーを明確にし、それを社員が正確に理解・実行できるようにするための研修が必要となるでしょう。
また、保守を目的とした研修を定期的に行い、最新の情報や新たに発見された課題を社員にフィードバックすることで、システムや業務プロセスの改善につなげます。
統制ポリシーの徹底と定期研修の実施、さらに計画的なシステム評価と改善を繰り返すことで、組織全体での持続的なIT統制の運用が可能になり、リスクの低減や業務の信頼性向上につなげられます。
IT統制で評価されるポイント
会社の規模が大きくなると、IT統制に不備がある場合のリスクも増大します。顧客リストの流出など社会的な問題を防ぐために、定期的な監査法人のチェックが必要です。監査法人のチェック対象となるポイントは次の通りです。
- パスワードポリシー
- プロセス
- データ
それぞれどのようなポイントに注意すべきかを解説します。
パスワードポリシー
パスワードポリシーでは、パスワード設定の強度やアカウントロックアウトの有無、定期的なパスワード変更のルールなどが定められているかが確認されます。推測されにくい複雑なパスワードを要求しているか、一定回数以上の誤入力でアカウントがロックされる仕組みがあるか、一定の期間ごとにパスワードを更新する仕組みがあるかなどの要素がチェック対象です。
良い評価を受けるためには、ID管理が適切に行われていることが重要で、パスワードがどのように管理されているか、そしてその権限付与が適切かどうかなども重要となるでしょう。
プロセス
プロセス管理の適切性評価では、ワークフローの中での承認プロセスや管理が正しく行われているか、業務に応じて適切な権限が付与されているか、アクセスログが詳細に記録・管理されているかが対象です。
例えば、取引先への発注プロセスや受注の流れなど、業務プロセス全体が効率的で不具合がないことが重要です。不適切な承認や不十分な権限管理は、業務の遅延やミスにつながり、重大なリスクを引き起こす可能性があります。
また、アクセスログの記録によって、操作履歴が追跡できるため、不正行為や情報漏えいのリスクを抑えられるでしょう。
データ(情報資産)
データの正確性、完全性、及び機密性を確保することが特に重要です。データが正確で誤りのないものであるとともに、必要な情報が漏れなく保持されていなければなりません。また、機密性を保護するために、データのバックアップルールや暗号化、アクセス制御など、データの取り扱いが適切に行われているかが評価されます。
データへのアクセス権が適切に付与され、不要なユーザーがアクセスできないように管理されているかも重要です。ID管理システムを通じて、アクセス権限の適正な付与や承認フローが守られていることが求められ、適切なID管理が行われていることで、データのセキュリティが維持されます。
まとめ
今回の記事では、IT統制を解説しました。IT統制とは、企業がITに関するリスクを適切に管理し、ITリスクをコントロールする仕組みを構築・運用するためのプロセスです。内部統制の一環としてIT統制が含まれており、情報資産やシステムの安全性・信頼性を確保するために行われます。
また、IT統制の実際の進め方に加えて、IT統制で評価されるポイントを紹介しました。パスワード管理が適切に運用されているか、情報資産へのアクセス権限は適切かどうかなどが評価されるポイントです。高い評価を受けるためにも、適切なID管理の仕組みが欠かせません。
適切なID管理の仕組みを構築するためには、IDaaSの導入が効果的です。クラウドベースで簡単に導入でき、効率的にID管理が行えるため、業務の柔軟性とセキュリティの両立が可能となります。IT統制の強化を検討されている場合には、ぜひIDaaSも選択肢のひとつとして考えてみてはいかがでしょうか。
ぜひお気軽にご相談ください
ゼロトラストの構成要素に欠かせない統合的なID管理を実現します。
\詳しいPDF資料はこちら/
資料ダウンロードはこちら\お見積りや導入のご相談はこちら/
お問い合わせはこちら