IT全般統制の構築と評価

Sponsored by

コントロールソリューションズ株式会社

代表取締役社長佐々野未知

経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。

IT全般統制とは？どんなものがあるか？

IT全般統制とは、IT業務処理統制が有効に機能する環境を保証するための統制活動を意味し、通常、複数のIT業務処理統制に関係する方針や手続のことをいいます。

英語ではIT General Controlと呼ばれ、省略してITGCと表記されることがあります。

IT全般統制は、会社の情報システム管理部門が実施する情報システム全体に対する統制活動を指しており、ITシステムの適切な運用管理を確保するための基盤となるものです。

具体例としては、以下のような項目が挙げられます。

• システムの開発、保守に係る管理
• システムの運用・管理
• 内外からのアクセス管理などシステムの安全性の確保
• 外部委託に関する契約の管理

現代の企業活動において、情報システムは業務の効率化やデータの正確な処理に不可欠な役割を担っています。

IT全般統制を構築して、ITシステムの信頼性や安全性を確保することは、会社全体の信頼性や持続可能性に直結する重要なものと位置づけられます。

IT全般統制の文書化

IT全般統制の文書化は、以下の３ステップで進めます。

1.システム全体像の把握と評価対象システムの明確化

まず、会社全体の情報システムの概要がわかる資料（情報システム概要書）を準備します。

ここでは、会社が使用しているアプリケーションシステム、ハードウェア及びオペレーティングシステム、ネットワーク構成図、データベース関連図、情報システム部門の概要などを整理して記載します。

J-SOXは、財務報告に影響を与える範囲のIT統制を評価するので、業務プロセスにおける取引の発生から集計、記帳の過程において、財務諸表の重要な勘定科目がどのような業務プロセス及びシステムと関連しているか、システムの機能の概要、どの部署で利用されているか等を把握することが目的の一つです。

システム間のデータの流れ等を、図や表を活用して整理し、各業務プロセスで使用されているシステムの一覧を作成することが有用となります。

IT全般統制の評価は、業務プロセスにおけるIT業務処理統制の有効性を担保するために実施するものです。

したがって、評価対象となっている勘定科目と取引、業務プロセス及びシステムとの関係を理解し、システムの機能に依存して作成・記録されている会計データがあれば、当該システムがIT全般統制の対象となります。

2.IT基盤を確認し、評価単位を明確にする

次に、評価対象システムについて、それを支援するIT基盤として、例えば、以下のような項目を把握します。

• ITに関与する組織の構成
• ITに関する規程、手順書等
• ハードウェアの構成
• 基本ソフトウェアの構成
• ネットワークの構成
• 外部委託の状況

IT全般統制は、通常IT基盤毎に構築されているため、評価もシステム毎ではなく、IT基板毎に実施します。

複数のシステムであっても共通のIT基盤のもとで管理されている場合は、同時に評価します。

例えば、自社開発の販売、購買、物流のシステムについては、システム部が管理し、会計システムについては、経理部が市販のパッケージ・ソフトウェアを導入・管理している場合、評価単位を「システム部」と「経理部」の２つとします。

3.IT全般統制のリスク（評価項目）に対する統制を整理する

IT基盤毎に、必要な評価項目を、開発・保守、運用・管理、セキュリティ確保、外部委託先管理といった主要区分ごとに準備し、それにそって会社の内部統制を整理・文書化します。

全社的な内部統制の場合には、内部統制評価の実施基準に42の評価項目の例示が記載されていますが、IT全般統制の場合、そのような例示はありませんので、コンサルタントや監査法人と相談して評価項目を決定します。

経済産業省が公表している「システム管理基準　追補版」を参考にするのもいいでしょう。

評価項目と会社が実施する内部統制は、通常エクセルなどにまとめられ、「IT全般統制チェックリスト」と呼ばれます。

必要項目と統制の例

例えば以下のような評価項目に対する会社の内部統制を確認することになります。

• 開発・保守：要件確定、変更管理、テストの実施・承認、リリース手順など
• 運用・管理：運用管理、構成管理（ソフトウェアとIT基盤の保守）、データ管理など
• セキュリティ確保：　アクセス管理など情報セキュリティー対策、情報セキュリティインシデントの管理など
• 外部委託先管理：サービスレベルの定義、定期的なモニタリングなど

IT全般統制の評価

IT全般統制の評価は、全社的な内部統制や決算財務報告プロセス統制の評価と、ほぼ同様です。

すなわち、チェックリストに整理・記載した自社の内部統制について、関係者への質問や規程等の閲覧、サンプル取引資料の検査を実施することで、整備と運用の状況を確認して、記録します。

整備状況の評価では、主に関係者への質問もしくは規程内容の確認を通じて、方針や制度などが適切に整備されていることを確認し、運用状況の評価で実際に規定通りの運用が行われていることを確認するために、期中の取引資料などを確認します。

運用状況の評価を実施する場合のサンプル件数は、統制の頻度や重要性に基づいて決定します。

例えば、日次の統制には25件、月次や四半期の統制は2件のサンプルをテストします。

したがって、全社的な内部統制や決算財務報告プロセス統制の評価よりも多くのサンプル数を評価することになります。

IT全般統制のよくある不備

上場準備会社は、上場準備をきっかけに初めて情報システム関連規程（ルール）を整備するケースが多いです。

これまでは業務の効率性が優先されたものの、上場後は予め定める手順に従って行わなければなりません。

例えば、システムへのID付与や、データ修正、システムの設定変更などを、書類不要で必要に応じて実施できる環境は、不備とされるので、今後は申請書を整備し、承認や確認をとったうえで、実施しなければなりません。

また、上場準備中に、情報システムの大幅な入れ替えを実施する会社も多いです。この場合、ルールを決めるとの同時に、進行中のシステム開発において運用していくことを理解しておきましょう。

例えば、システム開発では、要件定義書を整備・保管する、社内の必要な承認を取って進めるなど、必要なIT全般統制がありますが、これらのルールを確認すると同時に、眼の前のシステム開発で運用していくことになります。

さらに、システム開発を行う場合、IT業務処理統制にも影響を与えるので、必要な機能が新システムに含まれていることを確認して進めましょう。

例えば、IT業務処理統制が整備されず、マスターデータを誰でも変更できる状況にある場合、人手で制限するのが難しく、後からシステム改修が発生してしまう可能性があります。

IT業務処理統制の不備の是正には、時間と費用がかかるため、開発・導入の段階で慎重に確認する必要があります。