IT全般統制の構築と評価
経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
IT全般統制とは?どんなものがあるか?
IT全般統制とは、IT業務処理統制が有効に機能する環境を保証するための統制活動を意味し、通常、複数のIT業務処理統制に関係する方針や手続のことをいいます。
英語ではIT General Controlと呼ばれ、省略してITGCと表記されることがあります。
IT全般統制は、会社の情報システム管理部門が実施する情報システム全体に対する統制活動を指しており、ITシステムの適切な運用管理を確保するための基盤となるものです。
具体例としては、以下のような項目が挙げられます。
- システムの開発、保守に係る管理
- システムの運用・管理
- 内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
現代の企業活動において、情報システムは業務の効率化やデータの正確な処理に不可欠な役割を担っています。
IT全般統制を構築して、ITシステムの信頼性や安全性を確保することは、会社全体の信頼性や持続可能性に直結する重要なものと位置づけられます。
IT全般統制の文書化
IT全般統制の文書化は、以下の3ステップで進めます。
1.システム全体像の把握と評価対象システムの明確化
まず、会社全体の情報システムの概要がわかる資料(情報システム概要書)を準備します。
ここでは、会社が使用しているアプリケーションシステム、ハードウェア及びオペレーティングシステム、ネットワーク構成図、データベース関連図、情報システム部門の概要などを整理して記載します。
J-SOXは、財務報告に影響を与える範囲のIT統制を評価するので、業務プロセスにおける取引の発生から集計、記帳の過程において、財務諸表の重要な勘定科目がどのような業務プロセス及びシステムと関連しているか、システムの機能の概要、どの部署で利用されているか等を把握することが目的の一つです。
システム間のデータの流れ等を、図や表を活用して整理し、各業務プロセスで使用されているシステムの一覧を作成することが有用となります。
IT全般統制の評価は、業務プロセスにおけるIT業務処理統制の有効性を担保するために実施するものです。
したがって、評価対象となっている勘定科目と取引、業務プロセス及びシステムとの関係を理解し、システムの機能に依存して作成・記録されている会計データがあれば、当該システムがIT全般統制の対象となります。
2.IT基盤を確認し、評価単位を明確にする
次に、評価対象システムについて、それを支援するIT基盤として、例えば、以下のような項目を把握します。
- ITに関与する組織の構成
- ITに関する規程、手順書等
- ハードウェアの構成
- 基本ソフトウェアの構成
- ネットワークの構成
- 外部委託の状況
IT全般統制は、通常IT基盤毎に構築されているため、評価もシステム毎ではなく、IT基板毎に実施します。
複数のシステムであっても共通のIT基盤のもとで管理されている場合は、同時に評価します。
例えば、自社開発の販売、購買、物流のシステムについては、システム部が管理し、会計システムについては、経理部が市販のパッケージ・ソフトウェアを導入・管理している場合、評価単位を「システム部」と「経理部」の2つとします。
3.IT全般統制のリスク(評価項目)に対する統制を整理する
IT基盤毎に、必要な評価項目を、開発・保守、運用・管理、セキュリティ確保、外部委託先管理といった主要区分ごとに準備し、それにそって会社の内部統制を整理・文書化します。
全社的な内部統制の場合には、内部統制評価の実施基準に42の評価項目の例示が記載されていますが、IT全般統制の場合、そのような例示はありませんので、コンサルタントや監査法人と相談して評価項目を決定します。
経済産業省が公表している「システム管理基準 追補版」を参考にするのもいいでしょう。
評価項目と会社が実施する内部統制は、通常エクセルなどにまとめられ、「IT全般統制チェックリスト」と呼ばれます。
必要項目と統制の例
例えば以下のような評価項目に対する会社の内部統制を確認することになります。
- 開発・保守:要件確定、変更管理、テストの実施・承認、リリース手順など
- 運用・管理:運用管理、構成管理(ソフトウェアとIT基盤の保守)、データ管理など
- セキュリティ確保: アクセス管理など情報セキュリティー対策、情報セキュリティインシデントの管理など
- 外部委託先管理:サービスレベルの定義、定期的なモニタリングなど
IT全般統制の評価
IT全般統制の評価は、全社的な内部統制や決算財務報告プロセス統制の評価と、ほぼ同様です。
すなわち、チェックリストに整理・記載した自社の内部統制について、関係者への質問や規程等の閲覧、サンプル取引資料の検査を実施することで、整備と運用の状況を確認して、記録します。
整備状況の評価では、主に関係者への質問もしくは規程内容の確認を通じて、方針や制度などが適切に整備されていることを確認し、運用状況の評価で実際に規定通りの運用が行われていることを確認するために、期中の取引資料などを確認します。
運用状況の評価を実施する場合のサンプル件数は、統制の頻度や重要性に基づいて決定します。
例えば、日次の統制には25件、月次や四半期の統制は2件のサンプルをテストします。
したがって、全社的な内部統制や決算財務報告プロセス統制の評価よりも多くのサンプル数を評価することになります。
IT全般統制のよくある不備
上場準備会社は、上場準備をきっかけに初めて情報システム関連規程(ルール)を整備するケースが多いです。
これまでは業務の効率性が優先されたものの、上場後は予め定める手順に従って行わなければなりません。
例えば、システムへのID付与や、データ修正、システムの設定変更などを、書類不要で必要に応じて実施できる環境は、不備とされるので、今後は申請書を整備し、承認や確認をとったうえで、実施しなければなりません。
また、上場準備中に、情報システムの大幅な入れ替えを実施する会社も多いです。この場合、ルールを決めるとの同時に、進行中のシステム開発において運用していくことを理解しておきましょう。
例えば、システム開発では、要件定義書を整備・保管する、社内の必要な承認を取って進めるなど、必要なIT全般統制がありますが、これらのルールを確認すると同時に、眼の前のシステム開発で運用していくことになります。
さらに、システム開発を行う場合、IT業務処理統制にも影響を与えるので、必要な機能が新システムに含まれていることを確認して進めましょう。
例えば、IT業務処理統制が整備されず、マスターデータを誰でも変更できる状況にある場合、人手で制限するのが難しく、後からシステム改修が発生してしまう可能性があります。
IT業務処理統制の不備の是正には、時間と費用がかかるため、開発・導入の段階で慎重に確認する必要があります。
IT全般統制は、会社の情報システムの信頼性を確保し、その成長を実現するために欠かせませんが、J-SOXに必要な範囲のIT全般統制は、あくまで財務報告に係る部分であるため、ポイントを抑えて構築することが肝要です。
IT全般統制に不備があったとしても、代替的又は補完的な他の内部統制がある場合や、IT業務処理統制が有効に機能しており、財務報告の信頼性という目的が達成されている場合には、重要な不備とはされない場合もあります。
専門のコンサルタントを活用することで、見落としがちなリスクに対して、効率的な内部統制を構築することが可能になります。
会社のリスク管理を強化し、安心して業務を進めるための基盤が整えるために、ご心配な点があればぜひ一度ご相談ください。
しています!
上智大学経済学部卒業。大原簿記学校講師、青山監査法人(当時)勤務を経て、1998年KPMGニューヨーク事務所に入社。
2002年以降は、KPMG東京事務所(現あずさ監査法人)にて外資系企業の法定監査、デューデリジェンス、SOX法対応支援業務を担当する。
現在は、経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
著書『フローチャート式ですぐに使える内部統制の入門と実践』他。
コントロールソリューションズでは、内部統制に関わるセミナーを随時開催しています。佐々野氏のセミナーは分かりやすいと好評のため、「すぐに相談までは進めない」という方はセミナーでお話を聞いてみてはいかがでしょうか?
年度末の内部統制報告書の提出に向け、評価の集約や改訂基準への対応が急務です。本講座では、重要不備を残さないための評価実務や有効性判断、報告書の作成法を詳説。最新の監査動向や事例を交え、実務に精通した講師が、期末までに評価を完遂するためのポイントを実務本位の視点で分かりやすく指導します。
年度末の内部統制報告書の提出に向け、評価の集約や改訂基準への対応が急務です。本講座では、重要不備を残さないための評価実務や有効性判断、報告書の作成法を詳説。最新の監査動向や事例を交え、実務に精通した講師が、期末までに評価を完遂するためのポイントを実務本位の視点で分かりやすく指導します。
リスクの多様化に伴い、グループ横断的な「ERM」の構築が急務です。本セミナーでは、形式的な体制から脱却し実効性を高める運用法を、基礎から高度な視点まで網羅。BCP策定や危機管理の基本も交え、初心者から実務者まで役立つ具体策を解説します。PDCAの定着や体制強化を目指す企業の課題解決を支援します。
上場準備企業に不可欠なJ-SOX対応と内部統制の構築を体系的に学ぶ実務担当者向け講座です。リスクベースの合理的な体制構築を目指し、評価範囲の決定から全社・業務・IT統制の整備、業務フロー等の文書化まで実務手順を網羅。優先順位や水準に悩む方へ、他社事例やつまずきポイント、監査対応の留意点までわかりやすく解説します。
生成AIの普及は、内部監査・内部統制にリスク兆候の早期発見や新たな視点をもたらします。一方で、情報漏洩や誤情報への慎重な対応も不可欠です。本セミナーでは、基礎知識から具体的な活用シナリオ、即戦力のプロンプト例まで実務視点で詳説。リスク管理を踏まえた「生成AIとの付き合い方」を実践的に学べる好機です。
後を絶たない企業の不祥事に対し、内部統制評価制度でも不正リスクへの対応が強化されています。本セミナーでは、不正の背景や直近の事例を徹底検証。手口を分析し、兆候を早期に発見・予防するための仕組みや具体的なチェックポイントを解説します。内部監査や調査を行う際の留意点も、実務に即して分かりやすく指導します。
相次ぐ企業の不祥事を受け、内部統制における不正リスク対応が重要視されています。本セミナーでは、不正の発生背景や直近の事例を分析し、未然防止や早期発見に必要な社内の仕組み・チェックポイントを実務場面に即して解説します。さらに、内部監査や不正調査を実施する際の留意点についても、講師が分かりやすく指導します。
急速に普及する生成AIは、内部監査・内部統制にリスク検知や新視点をもたらす一方、情報漏洩等の懸念も伴います。本セミナーでは、AIの基礎から実務での活用シナリオ、即戦力のプロンプト例までを詳しく解説。リスクを適切に管理しながら成果を最大化する「AIとの付き合い方」を、実務視点で実践的に学べる内容です。
内部統制制度の導入から約20年。今や当たり前の存在となり、その本質や意義を考える機会が減っていませんか?本セミナーは、全てのビジネスパーソンに向けて内部統制の基本に立ち返る入門講座です。「なぜ必要なのか」「目的や要素は何か」といった基礎知識から制度の全体像までをやさしく解説し、本質的な理解を深めます。
内部統制制度の導入から約20年が経過し、その本来の意義を考える機会が減っていませんか?本セミナーは、全てのビジネスパーソンを対象に内部統制の基本に立ち返り、「なぜ必要なのか」「目的や要素とは何か」「制度の全体像」をやさしく解説します。基礎知識を本質からしっかりと身につけたい方に向けた入門講座です。
生成AIを内部監査・内部統制業務へ安全かつ効果的に導入するための実践講座です。AIの基本や各種ツールの違い、業務効率化やリスク発見などの活用シナリオに加え、情報漏洩やハルシネーション等のリスク管理手法を網羅。さらに、監査計画やチェックリスト作成に即使える具体的なプロンプト技術まで実践的に解説します。
内部監査・内部統制業務における生成AIの活用とリスク管理を網羅した実践講座です。AIの基本から、監査計画やチェックリスト作成などの具体例、情報漏洩やハルシネーション対策まで、現場での「使いどころ」と「注意点」を徹底解説。さらに、実務でそのまま使える即効プロンプトの記述テクニックも体系的に学べます。
内部監査部門の立ち上げや新任担当者、実務を見直したい方に向けた基礎講座です。上場準備や不祥事防止など高まる期待に対し、限られた人員で効果的な監査を行うための基本知識と必須手順を、具体的な書式や事例を用いて総ざらいします。さらに、2024年に改訂されたグローバル内部監査基準のポイントも解説します。
内部統制制度の導入から約20年。日常業務で当たり前となった今だからこそ、その本質を再確認しませんか?本セミナーは全てのビジネスパーソンを対象に、内部統制の基本に立ち返り、「なぜ必要なのか」「目的や要素は何か」をやさしく紐解く入門講座です。制度の全体像から基礎知識をしっかりと学び直したい方にお勧めです。
内部監査・内部統制に特化した、生成AIの「使いどころ」と「注意点」を学ぶ実践講座です。監査計画やチェックリスト作成などの具体例を交え、業務効率化とリスク発見のノウハウを解説します。情報漏洩対策といったリスク管理の基本から、現場ですぐに使えるプロンプトの記述テクニックまで、実務直結の知識を網羅しています。
内部監査・内部統制業務における生成AIの実践的な活用法とリスク対策を網羅したセミナーです。監査計画やチェックリスト作成、議事録要約など、業務効率化とリスク発見に直結する活用シナリオを提示。情報漏洩やハルシネーションへの備えを学びつつ、現場で即実践できるプロンプトの記述テクニックまで習得できます。