IT全般統制(ITGC)は、企業の内部統制やJ-SOX対応において、財務報告の信頼性確保を支える基盤とされています。しかし、IT業務処理統制との違いや、具体的な評価基準・対応手順が分からないという担当者の方も多いのではないでしょうか。
本記事では、IT全般統制の目的や4つの評価領域、監査に向けた対応手順をわかりやすく解説します。Excel管理の限界や部門システムの乱立といった課題への対応や、全社的なセキュリティ向上や業務の最適化を検討する際のヒントとして参考にしてください。
この記事で分かること
- IT全般統制の定義とIT業務処理統制との違い
- 評価基準となる4つの領域と具体的な対応手順
- システム老朽化のリスクとERPによる内部統制の強化方法
IT全般統制とは何か
企業の業務がデジタル化され、多くの業務プロセスがシステム上で実行される現代において、システムの信頼性や安全性を確保することは経営上の重要な課題です。その基盤となる考え方がIT全般統制です。
IT全般統制の定義と内部統制における位置づけ
IT全般統制(IT General Controls、略称ITGC)とは、企業が利用する情報システムが有効かつ安全に機能する環境を確保するために、システム基盤全体に対して行われる統制活動のことです。具体的には、システムの開発や保守、運用管理、アクセス権限の管理などが含まれます。
内部統制の枠組みにおいて、IT全般統制は重要な位置づけを持っています。金融庁が公表している財務報告に係る内部統制の評価及び監査の基準においても、ITへの対応は内部統制の基本的要素の一つとして明記されています。財務報告の信頼性を確保するためには、その数値を生成する会計システムや業務システムが正しく機能していることが前提となります。
もしIT全般統制が有効に機能していなければ、システム上のデータが不正に改ざんされたり、プログラムの不具合によって誤った処理が行われたりするリスクが高まります。企業全体のシステム環境を健全に保つための基盤となる取り組みの一つが、IT全般統制とされています。
IT業務処理統制との違い
IT全般統制と関連してよく用いられる用語に「IT業務処理統制(IT Application Controls、略称ITAC)」があります。これらはどちらもIT統制を構成する要素ですが、対象となる範囲や目的が異なります。
IT業務処理統制は、個別の業務アプリケーションに組み込まれた統制活動を指します。業務データが正確に、漏れや重複なく処理されることを目的とした統制であり、入力時の自動エラーチェック機能や、承認ワークフローによる権限統制などが該当します。
両者の関係性を理解する上で重要なのは、IT業務処理統制が正しく機能するためには、土台となるIT全般統制が有効に機能している必要があるという点です。どれほど優れた業務システムを導入していても、システムへのアクセス権限が適切に管理されていなかったり、プログラムの変更が管理されずに無断で行われたりする環境では、業務処理の正確性確保が難しくなる可能性があります。
| 項目 | IT全般統制(ITGC) | IT業務処理統制(ITAC) |
|---|---|---|
| 対象範囲 | システム基盤全体(ネットワーク、データベース、OSなど) | 個別の業務アプリケーション(会計システム、販売管理など) |
| 目的 | IT環境が常に適切に機能し、安全に運用される状況の確保 | 業務データが正確に、漏れなく、重複なく処理される状況の確保 |
| 具体例 | アクセス権限の管理、システムの開発・変更管理、バックアップ運用 | 入力データの自動チェック、承認ワークフロー、エラーデータの自動検知 |
IT全般統制とIT業務処理統制の違いをまとめると、以下のようになります。
- IT全般統制はシステム環境全体を支えるインフラや基盤の統制
- IT業務処理統制は個別の業務プロセスにおけるアプリケーションの統制
部門ごとにシステムが乱立していたり、表計算ソフトによる手作業の管理が残っていたりする環境では、これらの統制を全社的に効かせることは困難です。そのため、内部統制を強化し、経営の透明性を高めるためには、全社横断的なシステム基盤の整備が重要となります。
IT全般統制の目的と重要性
IT全般統制(ITGC)の主な目的は、ITシステムが適切かつ安全に機能する環境を継続的に維持し、企業活動の基盤を強固にすることです。現代の企業経営において、ITシステムは財務報告から日々の業務プロセスに至るまで、あらゆる活動の根幹を担っています。そのため、IT全般統制の有効性が損なわれると、業務の停止やデータの欠損が生じ、企業全体のリスクに直結します。
財務報告の信頼性確保とJ-SOX対応
IT全般統制の最も重要な目的の一つは、財務報告の信頼性を確保することです。上場企業やその連結子会社に求められる内部統制報告制度(J-SOX)において、ITへの対応は重要な要素となっています。
財務諸表を作成する過程では、会計システムや販売管理システムなど、複数のシステムで処理されたデータが集約されます。もし、これらのシステムにおいてプログラムの不正な変更やデータへの不適切なアクセスが行われた場合、財務報告の正確性は著しく損なわれます。IT業務処理統制が有効に機能するための基盤を確保することが、IT全般統制の役割です。
ここで、IT全般統制と財務報告の関係性について整理します。
| 統制の目的 | 具体的なリスク例 | IT全般統制による対応 |
|---|---|---|
| 正確なデータ処理の保証 | 未承認のプログラム変更による計算ロジックの異常 | システム開発・変更管理の徹底、テストと承認プロセスの義務化 |
| データの完全性維持 | 権限のない従業員による財務データの改ざん | アクセス権限の適切な付与と定期的な棚卸し |
| システムの継続性確保 | ハードウェア障害による会計処理の遅延やデータ消失 | バックアップの定期取得と障害復旧手順の整備 |
金融庁が公表している財務報告に係る内部統制の評価及び監査の基準においても、IT基盤の統制が財務報告の信頼性に与える影響の大きさが指摘されています。特に、部門ごとにシステムやExcelが乱立している環境では、データの整合性を担保することが難しく、手作業によるデータの転記や修正が発生するため、J-SOX対応の負荷が増大する傾向にあります。
セキュリティリスクと情報漏洩の防止
もう一つの重要な目的は、サイバー攻撃や内部不正によるセキュリティリスクを低減し、情報漏洩を防止することです。企業が保有する顧客情報や機密データは、事業継続において重要な資産です。
IT全般統制を適切に運用することで、以下のようなセキュリティ対策を組織的かつ継続的に実施することが可能になります。
- アカウントのライフサイクル管理(入退社や異動に伴う権限の迅速な変更)
- 特権IDの厳格な管理と操作ログの監視
- OSやミドルウェアの定期的な脆弱性対応とパッチ適用
- 外部委託先(ベンダー)に対するセキュリティ要件の提示と監査
近年はランサムウェアによる被害や、退職者によるデータの持ち出しなど、セキュリティインシデントが後を絶ちません。これらのインシデントは、システムの老朽化や管理プロセスの形骸化が原因で引き起こされることが少なくありません。経営層が主導してIT全般統制の環境を整備し、リスクを可視化することは、企業の社会的信用を守る上で重要です。
また、複数のシステムが複雑に連携している状態や、長年の運用でアドオンが過多になりブラックボックス化したシステム環境は、セキュリティホールを生み出しやすくなります。このような課題を根本から解決し、強固な内部統制と業務の効率化を両立する手段として、全社最適の視点を取り入れた統合的なシステム基盤の構築が多くの企業で重要視されています。
IT全般統制の評価基準となる4つの領域
IT全般統制を適切に評価・運用するためには、金融庁が公表している財務報告に係る内部統制の評価及び監査の基準などに示される枠組みを理解することが重要です。一般的に、IT全般統制は大きく4つの領域に分類して評価が行われます。それぞれの領域でどのような統制活動が求められるのか、具体的に解説します。
システムの開発と保守
システムの新規開発や既存システムの改修・保守を行う際、承認プロセスやテストが適切に実施されているかを評価する領域です。要件定義からリリースに至るまでの一連のプロセスにおいて、不正なプログラムの混入や仕様の不備を防ぐことが目的となります。
- 開発や変更の計画に対する適切な権限者による承認
- ユーザー部門を交えた十分なテストの実施と結果の記録
- 本番環境への移行時における承認プロセスと移行記録の保管
特に、スプレッドシートによる管理や部門ごとの個別システムが乱立している環境では、変更履歴が追えず統制が効きにくくなるため、注意が必要です。
システムの運用と管理
日々のシステム運用が安定して行われ、データが正確に処理・保全されているかを評価します。財務報告の基礎となるデータが、システムの障害や誤操作によって損なわれないようにするための重要な領域です。
主な評価項目は以下の通りです。
| 評価項目 | 具体的な統制内容 |
|---|---|
| ジョブ管理 | バッチ処理などのスケジュールが計画通りに実行され、エラー発生時に適切に対処・報告されているか |
| バックアップとリカバリ | 定期的にデータのバックアップが取得され、障害発生時に確実に復旧できる手順が整備・テストされているか |
| 障害管理 | システム障害が発生した際の原因究明、復旧対応、および再発防止策が適切に記録・管理されているか |
老朽化したシステムを長年運用している場合、属人的な運用管理に陥りやすく、内部統制上の重大な欠陥につながるリスクが高まります。
アクセス管理とセキュリティ確保
システムやデータに対する不正アクセス、情報の改ざん、情報漏洩を防ぐための領域です。正当な権限を持つユーザーのみが、必要な情報にアクセスできる仕組みが構築されているかを評価します。
- ユーザーIDの登録、変更、削除における適切な承認プロセス
- 開発担当者と運用担当者の分離など、職務分掌に基づいたアクセス権限の付与
- パスワードポリシーの適用と定期的な認証ログのモニタリング
アクセス権限の棚卸しを定期的に実施し、退職者や異動者のIDが放置されていないかを確認することが求められます。全社最適化された統合的なシステム基盤であれば、これらの権限管理を一元化し、統制を強化することが容易になります。
外部委託先の管理
システムの開発、保守、運用などを外部のベンダーやクラウドサービス事業者に委託している場合、その委託先が適切な統制環境を維持しているかを評価する領域です。自社のシステム環境の一部を外部に依存している以上、委託先の統制不備は自社の財務報告リスクに直結します。
委託先を選定する際の基準や、契約内容におけるセキュリティ要件の明記、さらには定期的なサービスレベルのモニタリングが重要です。必要に応じて、委託先から内部統制の有効性を証明する保証報告書(SOCレポートなど)を受領し、その内容を自社で評価することも有効な手段となります。
IT全般統制の具体的な対応手順
IT全般統制を適切に構築・運用するためには、場当たり的な対応ではなく、体系立てられた手順に沿って進めることが大切です。特に、財務報告の信頼性を担保するJ-SOX(内部統制報告制度)への対応においては、経営層や部門責任者が主導して全社的なIT環境を整備する必要があります。ここでは、IT全般統制を確立するための具体的なステップを解説します。
現状のシステム環境と課題の把握
IT全般統制の第一歩は、社内で稼働しているすべてのシステム環境と、それに付随する業務プロセスを正確に把握することです。会計システムや販売管理システムといった基幹システムはもちろんのこと、業務部門で独自に導入された部門システムや、データ集計に用いられているExcelなどのスプレッドシートも評価の対象となります。
まずは、各システムがどのような目的で利用され、どのようなデータを扱っているのかを棚卸しします。この段階で、財務報告に係る内部統制の評価及び監査の基準などを参考に、財務報告に重要な影響を及ぼすシステムを特定することが重要です。現状把握において確認すべき主な項目は以下の通りです。
- 社内に存在するハードウェア、ソフトウェア、ネットワーク機器の構成
- 各システムで取り扱うデータの種類と、財務報告への影響度
- システム間のデータ連携手法(自動連携か、手作業によるファイル取り込みか)
- システム管理や運用業務を担当している人員と権限の状況
中堅企業においては、事業拡大に伴い部門ごとの個別最適でシステムが導入された結果、システムが乱立し、全社的な可視化が困難になっているケースが少なくありません。こうした複雑なIT環境は、統制上の死角を生む大きな要因となります。
リスクの識別と統制活動の設計
現状のシステム環境を把握した後は、それぞれのIT資産や業務プロセスに潜むリスクを識別します。例えば、「権限のない従業員が重要な財務データを改ざんできる状態になっていないか」「システムのプログラム変更が適切な承認なしに行われていないか」といったリスクを洗い出します。
リスクを特定したら、それを低減または防止するための「統制活動(コントロール)」を設計します。社内規程や業務マニュアルを整備し、誰が・いつ・どのように確認や承認を行うのかを明確に定めます。
| IT全般統制の領域 | 想定されるリスクの例 | 統制活動(コントロール)の設計例 |
|---|---|---|
| システムの開発・保守 | 要件を満たさないプログラムが本番環境に移行される | 開発環境と本番環境の分離、移行前のテスト結果の承認フロー構築 |
| システムの運用・管理 | バッチ処理の異常終了に気づかず、データが欠損する | ジョブ管理ツールによる監視、エラー発生時の通知・対応手順の明文化 |
| アクセス管理 | 退職者のアカウントが残り、不正アクセスの温床になる | 入退社や異動に伴うアカウントの即時更新、定期的な権限の棚卸し |
統制活動を設計する際は、業務の効率性を著しく損なわないよう配慮することも求められます。手作業によるチェックや二重入力が多い環境では、人為的ミス(ヒューマンエラー)のリスクが高まるだけでなく、統制の維持に膨大な工数がかかります。そのため、システムによって自動的に統制を効かせる仕組みを構築することが、長期的な視点では非常に有効です。
運用テストと監査への対応
統制活動の設計と導入が完了したら、それらが規定通りに機能しているかを確認するための運用テストを実施します。一定期間の運用実績をもとに、サンプルを抽出してチェックを行います。例えば、「システムへのアクセス権限付与の申請書」と「実際のシステム上の設定履歴」を突き合わせ、適切な承認を経て権限が付与されているかを確認します。
運用テストにおいて不備(コントロール・ディフィシエンシー)が発見された場合は、原因を究明し、速やかに改善策を講じる必要があります。また、外部の監査法人による監査に円滑に対応するためには、統制が有効に機能していることを客観的に証明する「証跡(ログや承認記録)」を適切に保存し、いつでも提示できる状態にしておくことが望ましいです。
しかし、複数のシステムが混在し、データが分散している環境では、証跡の収集と突合に多大な労力を要します。全社で統合されたシステム基盤へと刷新することで、データの整合性確保やログ追跡の効率化につながり、監査対応の負荷軽減が期待されます。
IT全般統制の課題とERP導入による解決
中堅企業がIT全般統制を整備・運用するにあたり、既存のシステム環境が大きな障壁となるケースは少なくありません。特に事業の成長に伴ってシステムが複雑化している場合、統制活動の負荷は増大し、リスクの把握すら困難になります。ここでは、IT全般統制において企業が直面しやすい課題と、ERP(統合基幹業務システム)の導入による解決策について解説します。
部門システムの乱立やExcel管理の限界
多くの企業では、各部門が独自の業務要件に合わせて個別のシステムを導入したり、Excelを用いた手作業の管理を継続したりしています。このような環境下では、IT全般統制の観点から以下のような深刻な課題が生じます。
- 各システムでユーザーIDやアクセス権限の管理が分散し、退職者のID削除漏れなどのセキュリティリスクが高まる
- システム間のデータ連携が手作業やCSVファイルの受け渡しで行われ、データの改ざんやヒューマンエラーが発生しやすい
- ExcelマクロやVBAが属人化しており、プログラムの変更履歴や承認プロセスが追跡できない
財務報告の信頼性を担保するためには、これらの分散したシステムやファイルすべてに対してIT全般統制の評価を実施する必要があります。しかし、対象となるシステムが無数に存在する場合、監査工数は膨大となり、統制を維持することが困難となる可能性があります。
老朽化したシステムが抱える統制上のリスク
長年にわたり独自のカスタマイズ(アドオン)を繰り返してきたオンプレミス型のシステムも、IT全般統制において大きなリスクを抱えています。いわゆる「レガシーシステム」は、業務要件の変更に伴うプログラム改修が複雑化しており、システムの開発・保守領域における統制が機能しにくくなっています。
老朽化したシステムが抱える主なリスクは以下の通りです。
| 統制領域 | 老朽化したシステムにおける具体的なリスク |
|---|---|
| システムの開発と保守 | ドキュメントが最新化されておらず、プログラム変更時の影響調査が不十分となり、システム障害を引き起こすリスクがある。 |
| システムの運用と管理 | OSやミドルウェアのサポート期限が切れ、セキュリティパッチが適用できないため、サイバー攻撃の標的になりやすい。 |
| アクセス管理とセキュリティ | 最新の認証基盤(多要素認証など)に対応できず、不正アクセスの脅威に対して脆弱な状態が放置される。 |
こうした状況は、経済産業省が警鐘を鳴らす「2025年の崖」でも指摘されている通り、企業の競争力を低下させるだけでなく、内部統制の根幹を揺るがす重大な経営課題と言えます。
ERPによる全社最適化と内部統制の強化
部門システムの乱立やシステムの老朽化といった課題を根本から解決し、強固なIT全般統制を構築するための有効な手段が、ERPの導入です。ERPは、会計、販売、購買、生産、人事などの主要業務を単一のシステム基盤で統合管理する仕組みであり、全社最適化や内部統制強化につながる可能性があります。
一元的なアクセス管理と職務分掌の徹底
ERPを導入することで、これまでシステムごとに分散していたユーザーIDやアクセス権限の管理を一元化できます。標準機能として強力な権限管理機能を備えており、「申請者と承認者」や「発注担当者と検収担当者」といった職務分掌(セグリゲーション・オブ・デューティ)をシステム上で適用します。これにより、不正操作やデータ改ざんのリスクの低減につながります。
業務プロセスの標準化と証跡の自動記録
ERPの導入は、システムに合わせて業務プロセスを標準化(Fit to Standard)する絶好の機会です。業務が標準化されることで、属人的なExcel管理や手作業によるデータ連携が排除され、データの一貫性を確保しやすくなります。また、誰が・いつ・どのデータを登録・変更したかというログ(監査証跡)がシステム内に自動的に記録されるため、IT全般統制の評価や外部監査への対応負荷が軽減されます。
最新のセキュリティと継続的なアップデート
特にクラウド型のERPを採用した場合、システムのインフラ管理やセキュリティ対策はベンダー側で実施されます。常に最新のセキュリティ機能やコンプライアンス要件がアップデートされるため、自社で多大なリソースを割くことなく、高度なIT全般統制環境の維持につながる可能性があります。経営層は、システム保守という「守り」のIT投資から解放され、データを活用した「攻め」の経営へとシフトしやすくなります。
IT全般統制に関するよくある質問
IT全般統制は誰が担当しますか?
一般的には情報システム部門や内部監査部門が担当することが多いとされています。
IT全般統制の監査は毎年必要ですか?
上場企業の場合、一般的にはJ-SOX制度に基づき毎年の評価と監査が求められます。
IT業務処理統制との違いは何ですか?
全般統制はシステム基盤全体を、業務処理統制は個別業務の正確性を対象とします。
外部委託先も評価の対象になりますか?
委託先の業務が財務報告に影響する場合、評価の対象となります。
Excel管理でもIT全般統制は可能ですか?
可能ですが、変更履歴やアクセス制御の観点から限界があります。
まとめ
IT全般統制は、財務報告の信頼性確保やセキュリティリスク低減の観点から重要とされています。Excelや老朽化したシステムでの管理は限界があり、統制上のリスクを高める原因となります。これらの課題を解決し、内部統制を強化するためには、全社最適化を実現するERPの導入が有効な選択肢となる場合があります。まずは自社の要件に合うERPの情報収集から始めてみてはいかがでしょうか。
