IT全般統制の構築と評価

経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
IT全般統制とは?どんなものがあるか?
IT全般統制とは、IT業務処理統制が有効に機能する環境を保証するための統制活動を意味し、通常、複数のIT業務処理統制に関係する方針や手続のことをいいます。
英語ではIT General Controlと呼ばれ、省略してITGCと表記されることがあります。
IT全般統制は、会社の情報システム管理部門が実施する情報システム全体に対する統制活動を指しており、ITシステムの適切な運用管理を確保するための基盤となるものです。
具体例としては、以下のような項目が挙げられます。
- システムの開発、保守に係る管理
- システムの運用・管理
- 内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
現代の企業活動において、情報システムは業務の効率化やデータの正確な処理に不可欠な役割を担っています。
IT全般統制を構築して、ITシステムの信頼性や安全性を確保することは、会社全体の信頼性や持続可能性に直結する重要なものと位置づけられます。
IT全般統制の文書化
IT全般統制の文書化は、以下の3ステップで進めます。
1.システム全体像の把握と評価対象システムの明確化
まず、会社全体の情報システムの概要がわかる資料(情報システム概要書)を準備します。
ここでは、会社が使用しているアプリケーションシステム、ハードウェア及びオペレーティングシステム、ネットワーク構成図、データベース関連図、情報システム部門の概要などを整理して記載します。
J-SOXは、財務報告に影響を与える範囲のIT統制を評価するので、業務プロセスにおける取引の発生から集計、記帳の過程において、財務諸表の重要な勘定科目がどのような業務プロセス及びシステムと関連しているか、システムの機能の概要、どの部署で利用されているか等を把握することが目的の一つです。
システム間のデータの流れ等を、図や表を活用して整理し、各業務プロセスで使用されているシステムの一覧を作成することが有用となります。

IT全般統制の評価は、業務プロセスにおけるIT業務処理統制の有効性を担保するために実施するものです。
したがって、評価対象となっている勘定科目と取引、業務プロセス及びシステムとの関係を理解し、システムの機能に依存して作成・記録されている会計データがあれば、当該システムがIT全般統制の対象となります。
2.IT基盤を確認し、評価単位を明確にする
次に、評価対象システムについて、それを支援するIT基盤として、例えば、以下のような項目を把握します。
- ITに関与する組織の構成
- ITに関する規程、手順書等
- ハードウェアの構成
- 基本ソフトウェアの構成
- ネットワークの構成
- 外部委託の状況
IT全般統制は、通常IT基盤毎に構築されているため、評価もシステム毎ではなく、IT基板毎に実施します。
複数のシステムであっても共通のIT基盤のもとで管理されている場合は、同時に評価します。
例えば、自社開発の販売、購買、物流のシステムについては、システム部が管理し、会計システムについては、経理部が市販のパッケージ・ソフトウェアを導入・管理している場合、評価単位を「システム部」と「経理部」の2つとします。
3.IT全般統制のリスク(評価項目)に対する統制を整理する
IT基盤毎に、必要な評価項目を、開発・保守、運用・管理、セキュリティ確保、外部委託先管理といった主要区分ごとに準備し、それにそって会社の内部統制を整理・文書化します。
全社的な内部統制の場合には、内部統制評価の実施基準に42の評価項目の例示が記載されていますが、IT全般統制の場合、そのような例示はありませんので、コンサルタントや監査法人と相談して評価項目を決定します。
経済産業省が公表している「システム管理基準 追補版」を参考にするのもいいでしょう。
評価項目と会社が実施する内部統制は、通常エクセルなどにまとめられ、「IT全般統制チェックリスト」と呼ばれます。
必要項目と統制の例
例えば以下のような評価項目に対する会社の内部統制を確認することになります。
- 開発・保守:要件確定、変更管理、テストの実施・承認、リリース手順など
- 運用・管理:運用管理、構成管理(ソフトウェアとIT基盤の保守)、データ管理など
- セキュリティ確保: アクセス管理など情報セキュリティー対策、情報セキュリティインシデントの管理など
- 外部委託先管理:サービスレベルの定義、定期的なモニタリングなど
IT全般統制の評価
IT全般統制の評価は、全社的な内部統制や決算財務報告プロセス統制の評価と、ほぼ同様です。
すなわち、チェックリストに整理・記載した自社の内部統制について、関係者への質問や規程等の閲覧、サンプル取引資料の検査を実施することで、整備と運用の状況を確認して、記録します。
整備状況の評価では、主に関係者への質問もしくは規程内容の確認を通じて、方針や制度などが適切に整備されていることを確認し、運用状況の評価で実際に規定通りの運用が行われていることを確認するために、期中の取引資料などを確認します。
運用状況の評価を実施する場合のサンプル件数は、統制の頻度や重要性に基づいて決定します。
例えば、日次の統制には25件、月次や四半期の統制は2件のサンプルをテストします。
したがって、全社的な内部統制や決算財務報告プロセス統制の評価よりも多くのサンプル数を評価することになります。
IT全般統制のよくある不備
上場準備会社は、上場準備をきっかけに初めて情報システム関連規程(ルール)を整備するケースが多いです。
これまでは業務の効率性が優先されたものの、上場後は予め定める手順に従って行わなければなりません。
例えば、システムへのID付与や、データ修正、システムの設定変更などを、書類不要で必要に応じて実施できる環境は、不備とされるので、今後は申請書を整備し、承認や確認をとったうえで、実施しなければなりません。
また、上場準備中に、情報システムの大幅な入れ替えを実施する会社も多いです。この場合、ルールを決めるとの同時に、進行中のシステム開発において運用していくことを理解しておきましょう。
例えば、システム開発では、要件定義書を整備・保管する、社内の必要な承認を取って進めるなど、必要なIT全般統制がありますが、これらのルールを確認すると同時に、眼の前のシステム開発で運用していくことになります。
さらに、システム開発を行う場合、IT業務処理統制にも影響を与えるので、必要な機能が新システムに含まれていることを確認して進めましょう。
例えば、IT業務処理統制が整備されず、マスターデータを誰でも変更できる状況にある場合、人手で制限するのが難しく、後からシステム改修が発生してしまう可能性があります。
IT業務処理統制の不備の是正には、時間と費用がかかるため、開発・導入の段階で慎重に確認する必要があります。
IT全般統制は、会社の情報システムの信頼性を確保し、その成長を実現するために欠かせませんが、J-SOXに必要な範囲のIT全般統制は、あくまで財務報告に係る部分であるため、ポイントを抑えて構築することが肝要です。
IT全般統制に不備があったとしても、代替的又は補完的な他の内部統制がある場合や、IT業務処理統制が有効に機能しており、財務報告の信頼性という目的が達成されている場合には、重要な不備とはされない場合もあります。
専門のコンサルタントを活用することで、見落としがちなリスクに対して、効率的な内部統制を構築することが可能になります。
会社のリスク管理を強化し、安心して業務を進めるための基盤が整えるために、ご心配な点があればぜひ一度ご相談ください。

しています!
上智大学経済学部卒業。大原簿記学校講師、青山監査法人(当時)勤務を経て、1998年KPMGニューヨーク事務所に入社。
2002年以降は、KPMG東京事務所(現あずさ監査法人)にて外資系企業の法定監査、デューデリジェンス、SOX法対応支援業務を担当する。
現在は、経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
著書『フローチャート式ですぐに使える内部統制の入門と実践』他。
コントロールソリューションズでは、内部統制に関わるセミナーを随時開催しています。佐々野氏のセミナーは分かりやすいと好評のため、「すぐに相談までは進めない」という方はセミナーでお話を聞いてみてはいかがでしょうか?
今年も1年間かけて実施してきた財務報告に係る内部統制の評価について、結果を取りまとめる時期になりました。内部統制報告書の提出にむけた全体作業を念頭におきながら、最終的に重要な不備が残ることがないようにロールフォワードや再テスト等を進めていきましょう。なお、改訂実施基準が施行されたため、期中に不備等が見つかると追加で評価しなければならない可能性があります。自社の評価範囲に影響するような不備は早めに把握し、内部統制の構築と評価が期末までに完了するよう進めることが大切です。 本講座では、期末前後の評価作業、有効性の判断方法、内部統制報告書の作り方、改訂に伴う評価範囲への影響等について、最近の各社及び監査法人の動向等をふまえ、随所に設例、事例を織り込みながら、実務本位の解説で定評ある講師がわかり易くご指導いたします。
海外進出先での政情不安や急激な為替変動、クラウドサービス利用に伴うリスク等、昨今企業が直面するリスクは、増大かつ多様化しており、リスク管理の重要性が高まっています。従来型のリスクに対して各部門が都度場当たり的に対応するのではなく、リスク情報をタイムリーに認識・集約したうえで効率的・効果的に対応するためには、全社的な視点から計画的に実施する、いわゆる全社的リスクマネジメント(ERM)体制の構築と実践が不可欠です。法的にも、会社法、金融商品取引法、コーポレートガバナンスコードにおいて、グループ全体を含めた先を見越した全社的リスク管理体制の整備が求められています。しかし、具体的にどのような構築・運用が望ましいかは、各社各様であるため、ERMの導入が困難になっています。本講座では、ERMの構築からその後のPDCAサイクルにおける実務上の重要ポイントについて、具体例を用いて直面する課題とともに初心者にもわかり易く解説します。また、ERMの一環として、危機管理マニュアルや事業継続計画の策定についても合わせて説明します。
今年も1年間かけて実施してきた財務報告に係る内部統制の評価について、結果を取りまとめる時期になりました。内部統制報告書の提出にむけた全体作業を念頭におきながら、最終的に重要な不備が残ることがないようにロールフォワードや再テスト等を進めていきましょう。
なお、改訂実施基準が施行されたため、期中に不備等が見つかると追加で評価しなければならない可能性があります。自社の評価範囲に影響するような不備は早めに把握し、内部統制の構築と評価が期末までに完了するよう進めることが大切です。
本講座では、期末前後の評価作業、有効性の判断方法、内部統制報告書の作り方、改訂に伴う評価範囲への影響等について、最近の各社及び監査法人の動向等をふまえ、随所に設例、事例を織り込みながら、実務本位の解説で定評ある講師がわかり易くご指導いたします。
海外進出先での政情不安や急激な為替変動、クラウドサービス利用に伴うリスク等、昨今企業が直面するリスクは、増大かつ多様化しており、リスク管理の重要性が高まっています。
従来型のリスクに対して各部門が都度場当たり的に対応するのではなく、リスク情報をタイムリーに認識・集約したうえで効率的・効果的に対応するためには、全社的な視点から計画的に実施する、いわゆる全社的リスクマネジメント(ERM)体制の構築と実践が不可欠です。法的にも、会社法、金融商品取引法、コーポレートガバナンスコードにおいて、グループ全体を含めた先を見越した全社的リスク管理体制の整備が求められています。しかし、具体的にどのような構築・運用が望ましいかは、各社各様であるため、ERMの導入が困難になっています。
本講座では、ERMの構築からその後のPDCAサイクルにおける実務上の重要ポイントについて、具体例を用いて直面する課題とともに初心者にもわかり易く解説します。また、ERMの一環として、危機管理マニュアルや事業継続計画の策定についても合わせて説明します。
企業不祥事や製品事故の増加に伴い、コーポレート・ガバナンス強化が進み、監査役等の責任が重くなっています。本講座では、監査役やスタッフ向けに、役割・責任や実務ポイントを具体例を交えてわかりやすく解説します。
内部統制制度が浸透する一方で、運用面での課題や作業効率化のニーズが高まっています。本講座では、J-SOXの背景や体制、全社統制構築に関する基本知識を、実務に精通した講師がわかりやすく解説します。
内部統制制度が浸透する一方で、運用上の課題や効率化に対するニーズが高まっています。本講座では、業務プロセスやIT全般統制の評価について、記載例を用いながら、実務に精通した講師が基本知識やノウハウをわかりやすく解説します。