IT全般統制(ITGC)とは?
更新:2023年11月28日
目次
1.IT全般統制(ITGC)とは?
IT全般統制(Information Technology General Control:ITGC)とは、企業情報の信頼性を確保するために利用するITシステムを、適切に運用管理する仕組みのことです。
金融庁が公表する「財務報告に係る内部統制の評価及び監査の基準」では以下のように定義されています。
いくら内部統制に関する優れた機能を持ったシステムを利用していても、運用が適切に行われていなければ統制が取れているとは言えません。システムを適切に運用管理するためにIT全般統制への対応が必要です。
金融庁が公表する「財務報告に係る内部統制の評価及び監査の基準」では以下のように定義されています。
IT全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。 出典:金融庁「財務報告に係る内部統制の評価及び監査の基準」
いくら内部統制に関する優れた機能を持ったシステムを利用していても、運用が適切に行われていなければ統制が取れているとは言えません。システムを適切に運用管理するためにIT全般統制への対応が必要です。
2.IT全般統制の構成
IT全般統制は大きく4つの内容から構成されています。それぞれ具体例を交えて解説します。
ITに係る全般統制の具体例としては、以下のような項目が挙げられる。出典:金融庁「財務報告に係る内部統制の評価及び監査の基準」
- ・システムの開発、保守に係る管理
- ・システムの運用・管理
- ・内外からのアクセス管理などシステムの安全性の確保
- ・外部委託に関する契約の管理
2-1.システムの開発、保守に係る管理
システムの開発、保守に係る管理とは、システムの開発や変更に伴う承認ルールや手続きの制定、テストの実施、移行計画・移行結果の作成および承認など、開発から保守に関する運用ルールを指します。
運用ルールが何もない状態だと、どのような問題が起こるのでしょうか。
たとえば、担当者の判断によってテストが省略され、十分なテストが実施されないまま本番リリースまで進み、本番稼働後に誤った数字で財務情報が生成されてしまう、といった問題が起こりえます。
こういった問題発生のリスクを適切にコントロールするために、開発から保守に関する運用ルールが必要です。
自社開発の場合は、要件定義、設計、開発、テスト、移行といった工程ごとに必要なドキュメントを残し、レビューおよび承認を行うことで統制を図ります。
パッケージソフトやクラウドシステムを導入する場合も自社開発のシステムと同様に運用ルールは必要です。しかし、自社ではシステムを開発せず、保守もベンダーに任せることが一般的なため、自社開発の場合と対応が大きく異なります。
対応の違いは、たとえば下記が挙げられます。
内部統制に関して金融庁が公表している文書等は、初版が10年以上前であり、当時上場企業で主流だった自社開発システムの利用を前提とした記載になっています(もちろん更新はされています)。
そのためパッケージソフトなどを利用される場合は、対応が異なりますので留意が必要です。
運用ルールが何もない状態だと、どのような問題が起こるのでしょうか。
たとえば、担当者の判断によってテストが省略され、十分なテストが実施されないまま本番リリースまで進み、本番稼働後に誤った数字で財務情報が生成されてしまう、といった問題が起こりえます。
こういった問題発生のリスクを適切にコントロールするために、開発から保守に関する運用ルールが必要です。
自社開発の場合は、要件定義、設計、開発、テスト、移行といった工程ごとに必要なドキュメントを残し、レビューおよび承認を行うことで統制を図ります。
パッケージソフトやクラウドシステムを導入する場合も自社開発のシステムと同様に運用ルールは必要です。しかし、自社ではシステムを開発せず、保守もベンダーに任せることが一般的なため、自社開発の場合と対応が大きく異なります。
対応の違いは、たとえば下記が挙げられます。
- ・設計や開発、機能を保証するためのテストが不要
- ・承認ルールや手続きも自社開発の場合と比べて簡素化することが可能
内部統制に関して金融庁が公表している文書等は、初版が10年以上前であり、当時上場企業で主流だった自社開発システムの利用を前提とした記載になっています(もちろん更新はされています)。
そのためパッケージソフトなどを利用される場合は、対応が異なりますので留意が必要です。
2-2.システムの運用・管理
システムの運用・管理とはシステムを安定稼働し続けるために必要な運用ルールを指します。具体的には下記のような管理項目が挙げられます。
例えば、ハードウェア管理ではハードウェアを入手してから廃棄するまでの一連の手順を定めます。ソフトウェア管理では管理台帳を作成し、利用しているソフトウェアを一元管理するルールを定めます。
また、通常時の運用に留まらず、サーバーがダウンした場合は関係者へ連絡して手順に沿った対応を行う、データ損失に備えて定期的にデータのバックアップを取得する、といった有事の際を想定した運用ルールや手順を整備することも必要です。
- ・障害管理
- ・データ管理
- ・ソフトウェア管理
- ・ハードウェア管理
- ・ネットワーク管理
- ・構成管理
- ・設備管理 など
例えば、ハードウェア管理ではハードウェアを入手してから廃棄するまでの一連の手順を定めます。ソフトウェア管理では管理台帳を作成し、利用しているソフトウェアを一元管理するルールを定めます。
また、通常時の運用に留まらず、サーバーがダウンした場合は関係者へ連絡して手順に沿った対応を行う、データ損失に備えて定期的にデータのバックアップを取得する、といった有事の際を想定した運用ルールや手順を整備することも必要です。
2-3.内外からのアクセス管理などシステムの安全性の確保
内外からのアクセス管理などシステムの安全性の確保とは、アプリケーション、OS、ネットワーク、データベース、サーバールームなど、社内の情報資産に対するあらゆるアクセス経路において、安全にアクセスするために遵守すべき運用ルールを指します。
最近では特に情報漏えいや不正アクセスの事故が多く、被害規模も大きいため、アクセス管理の徹底は企業の信頼や利益の確保へ繋がる重要な要素です。
具体的に整備すべき運用ルールは下記のとおりです。
※マスターデータ等の作成・変更・削除や、プログラムの修正が可能な特別なIDを持ったアカウントのこと。
最近では特に情報漏えいや不正アクセスの事故が多く、被害規模も大きいため、アクセス管理の徹底は企業の信頼や利益の確保へ繋がる重要な要素です。
具体的に整備すべき運用ルールは下記のとおりです。
- ・アカウントの新規発行
- ・アカウントの変更・削除
- ・アカウントの棚卸
- ・権限の設定・変更
- ・権限の棚卸
- ・特権ID(※)の貸出・付与
- ・サーバールームへの入退室 など
※マスターデータ等の作成・変更・削除や、プログラムの修正が可能な特別なIDを持ったアカウントのこと。
2-4.外部委託に関する契約の管理
外部委託に関する契約の管理とは、システムの開発や運用等に関する業務を外部へ委託する場合、依頼どおりに業務が遂行され、かつ機密情報等の管理が適切に行われているかどうかを担保するための運用ルールを指します。
委託業務の範囲が不明確であったため期待どおりの業務が遂行されずトラブルに繋がった、外部委託先から個人情報が流出してしまった、という事故は後を絶ちません。こういった問題が起こらないように、外部委託業務の契約書にセキュリティに関する要件や、委託業務に関する評価の実施、委託先に対する監査の実施に関する条項を盛り込むことなどが必要です。
なお、最近増えているSaaS型のクラウドシステム(例:勘定奉行クラウドなど)を導入する際も注意が必要です。クラウドシステムがクラウドサービス提供会社に管理されるITインフラ上で稼働する場合、データの管理運用を外部に委託していることになるからです(たとえば勘定奉行クラウドの場合、利用企業にとっての外部委託先は提供元の株式会社オービックビジネスコンサルタントになります)。
対策としては、上場企業での導入実績があるかどうかを確認することや、内部統制に関する資料の提供を求めることです。内部統制に関する資料については、内部統制の有効性を証明する「SOC報告書」(※)という文書があります。監査法人からも提出を求められるケースが増えていますのでベンダー側が対応できるか確認しておくことが重要です。
※特定の業務を外部から受託、提供する場合に、当該業務に係る受託会社における内部統制の有効性について、監査法人や公認会計士が独立した第三者の立場から客観的に検証した結果を記した文書のこと。
■ 奉行シリーズのSOC報告書に関する情報はこちら
委託業務の範囲が不明確であったため期待どおりの業務が遂行されずトラブルに繋がった、外部委託先から個人情報が流出してしまった、という事故は後を絶ちません。こういった問題が起こらないように、外部委託業務の契約書にセキュリティに関する要件や、委託業務に関する評価の実施、委託先に対する監査の実施に関する条項を盛り込むことなどが必要です。
なお、最近増えているSaaS型のクラウドシステム(例:勘定奉行クラウドなど)を導入する際も注意が必要です。クラウドシステムがクラウドサービス提供会社に管理されるITインフラ上で稼働する場合、データの管理運用を外部に委託していることになるからです(たとえば勘定奉行クラウドの場合、利用企業にとっての外部委託先は提供元の株式会社オービックビジネスコンサルタントになります)。
対策としては、上場企業での導入実績があるかどうかを確認することや、内部統制に関する資料の提供を求めることです。内部統制に関する資料については、内部統制の有効性を証明する「SOC報告書」(※)という文書があります。監査法人からも提出を求められるケースが増えていますのでベンダー側が対応できるか確認しておくことが重要です。
※特定の業務を外部から受託、提供する場合に、当該業務に係る受託会社における内部統制の有効性について、監査法人や公認会計士が独立した第三者の立場から客観的に検証した結果を記した文書のこと。
【関連コラム】
■ 奉行シリーズのSOC報告書に関する情報はこちら
3.IT全般統制、構築・運用・評価のポイント
では次にIT全般統制を構築し、運用・評価していく際に押さえておくべきポイントを2点ご紹介します。
3-1.【構築時】統制と効率のバランスが取れた運用ルールを制定する
統制をきかせることと、業務効率化を図ることはトレードオフの関係にあります。
例えば、システムの変更を行う際は2人以上の体制で内容を確認した上で、2段階の承認プロセスを経てから変更作業を行うというルールを作った場合、システム変更に伴う不具合発生のリスクは極めて低くなり、高いレベルで統制が取れていると言えます。一方で、効率が良いとは言えない状況で、担当者に対する業務負荷が高くなってしまいます。
業務の効率性が悪くなると、制定した運用ルールが形骸化して、守られなくなってしまうリスクがあります。厳しい運用ルールで縛った結果、誰もルールを守らなくなってしまっては本末転倒です。
実際に上場準備企業の状況をお聞きすると、下記グラフの黄色のエリア(統制はきいているが効率が悪い状態)に陥っているケースが多くあります。理想形である「統制がきいており、効率も良い」状態(青色のエリア)へ出来るだけ近づけるための対応が必要です。
▲IPO準備企業における統制と効率のバランス
例えば、システムの変更を行う際は2人以上の体制で内容を確認した上で、2段階の承認プロセスを経てから変更作業を行うというルールを作った場合、システム変更に伴う不具合発生のリスクは極めて低くなり、高いレベルで統制が取れていると言えます。一方で、効率が良いとは言えない状況で、担当者に対する業務負荷が高くなってしまいます。
業務の効率性が悪くなると、制定した運用ルールが形骸化して、守られなくなってしまうリスクがあります。厳しい運用ルールで縛った結果、誰もルールを守らなくなってしまっては本末転倒です。
実際に上場準備企業の状況をお聞きすると、下記グラフの黄色のエリア(統制はきいているが効率が悪い状態)に陥っているケースが多くあります。理想形である「統制がきいており、効率も良い」状態(青色のエリア)へ出来るだけ近づけるための対応が必要です。
▲IPO準備企業における統制と効率のバランス
3-2.【運用・評価時】日常業務で運用ルールを遵守し、定期的に評価する
整備した運用ルールは守られなければ意味がありません。日常業務の中でルール通りに運用されていくことが重要です。
また、制定したルールに沿って運用してみると、運用負荷が高すぎることや、逆に統制が十分にきいていないこともありえます。そのため、運用後の評価・改善のプロセスも重要です。
特に「2−3.内外からのアクセス管理などシステムの安全性の確保」で解説したアカウント管理については、監査法人からも指摘を受けやすいポイントです。なぜなら、効率性だけを重視して、アカウントを随時付与したり、権限を適宜変更したりするなど、適切に運用が行われていないことが多く、担当者が伝票の自己承認を行うといった不正等が発生するリスクが高くなるからです。
監査では、申請履歴が残っているか、申請履歴とアカウント管理台帳の整合性が取れているか、といった点をチェックします。そのため、ワークフローシステムを利用して申請履歴を残し、アカウントや権限を台帳で管理しておくことが重要です。
また、制定したルールに沿って運用してみると、運用負荷が高すぎることや、逆に統制が十分にきいていないこともありえます。そのため、運用後の評価・改善のプロセスも重要です。
特に「2−3.内外からのアクセス管理などシステムの安全性の確保」で解説したアカウント管理については、監査法人からも指摘を受けやすいポイントです。なぜなら、効率性だけを重視して、アカウントを随時付与したり、権限を適宜変更したりするなど、適切に運用が行われていないことが多く、担当者が伝票の自己承認を行うといった不正等が発生するリスクが高くなるからです。
監査では、申請履歴が残っているか、申請履歴とアカウント管理台帳の整合性が取れているか、といった点をチェックします。そのため、ワークフローシステムを利用して申請履歴を残し、アカウントや権限を台帳で管理しておくことが重要です。
4.IPOに向けての留意点
IPOに向けて、いつ何をしなければならないのか、大まかに記したスケジュールとタスクは以下のとおりです。
▲IPOに向けたITGC環境構築・評価・改善・運用のスケジュール
IT全般統制(ITGC)では、主に運用ルールを整備することになりますので、N-2期の環境構築の段階で行っておくことが理想的です。遅くとも、N-1期の前半では運用ルールを整備しておき、後半で改善を行うことが望ましいと言えます。
運用ルールや手順の整備には、実務レベルでの細かい対応が必要であり、またルールに沿って運用するための社内調整なども発生します。社内調整を含めて対応が完了するまでには時間を要しますので、システム導入後、早めに着手することをお勧めします。
N-3以前に行われるショートレビューの段階では、IT全般統制(ITGC)に関する内容まで指摘されることはほとんどありません。そのため対応が後手後手になってしまうケースも見受けられます。IPOをスケジュール通りに実現させるためには、指摘がなくとも早めに計画的に対応していくことが重要です。
▲IPOに向けたITGC環境構築・評価・改善・運用のスケジュール
IT全般統制(ITGC)では、主に運用ルールを整備することになりますので、N-2期の環境構築の段階で行っておくことが理想的です。遅くとも、N-1期の前半では運用ルールを整備しておき、後半で改善を行うことが望ましいと言えます。
運用ルールや手順の整備には、実務レベルでの細かい対応が必要であり、またルールに沿って運用するための社内調整なども発生します。社内調整を含めて対応が完了するまでには時間を要しますので、システム導入後、早めに着手することをお勧めします。
N-3以前に行われるショートレビューの段階では、IT全般統制(ITGC)に関する内容まで指摘されることはほとんどありません。そのため対応が後手後手になってしまうケースも見受けられます。IPOをスケジュール通りに実現させるためには、指摘がなくとも早めに計画的に対応していくことが重要です。
5.IT統制環境の実現には適切な担当者が必要
構築から評価・改善まで、実務レベルでの対応を進めていくためには、適切な担当者の存在が欠かせません。たとえば下記のような人材がベストです。
IPOに耐えうるIT統制環境の構築は、適切な人材をアサインできるかどうかにかかっています。適切な人材がいない場合は、システムベンダーに協力を仰ぐ、外部から支援を受ける、という選択肢も視野に入れておくことが肝要です。
- ・ITシステムに詳しい(ITシステムの導入・開発だけでなく運用まで)
- ・内部統制にも詳しい
- ・販売管理や会計などのバックオフィス業務の知識がある
- ・上場監査やシステム監査の経験がある
IPOに耐えうるIT統制環境の構築は、適切な人材をアサインできるかどうかにかかっています。適切な人材がいない場合は、システムベンダーに協力を仰ぐ、外部から支援を受ける、という選択肢も視野に入れておくことが肝要です。
よくあるご質問
- ITGCとは何ですか?
- IT全般統制(ITGC)とは、企業情報の信頼性を確保するために利用するITシステムを、適切に運用管理する仕組みのことです。いくら内部統制に関する優れた機能を持ったシステムを利用していても、運用が適切に行われていなければ統制が取れているとは言えません。システムを適切に運用管理するためにIT全般統制への対応が必要です。
- ITGCの対象範囲は?
- ①システムの開発、保守に係る管理、②システムの運用・管理、③内外からのアクセス管理などシステムの安全性の確保、④外部委託に関する契約の管理、この4項目が対象範囲です。
- IT全社的統制とITGCの違いは何ですか?
- IT全社的統制とは、内部統制における基本的要素から「ITへの対応」を除いた5つ(統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング)に対して、有効性を確保するための取り組みです。一方IT全般統制は、業務プロセスにおける不正や誤謬を防ぐための仕組み(業務処理統制)が有効に機能する環境を保証するための取り組みです。
- ITGCとITACの違いは?
- IT全般統制(ITGC)は、企業情報の信頼性を確保するために利用するシステムを、適切に運用管理する仕組みのことです(システムの開発、保守・運用などの管理)。一方、IT業務処理統制(ITAC)は、業務ごとに行われる処理や記録を統制することが目的です。対応範囲は各業務のため、IT全般統制と比べるとより細かい対応が必要です。
ITGCが問題なく構築・運用できていることがITACの前提です。
関連コラム
執筆
株式会社エッグシステム
代表取締役
高橋 翼氏
代表取締役
高橋 翼氏
IT戦略・システム化計画策定から、システム開発・運用保守、マネジメント、ITガバナンスまで幅広い業務経験を経て2017年に株式会社エッグシステム創業。中小企業向けにITシステムによる売上拡大・業務効率化を実現する「コンサルティングエンジニアサービス」、IPOを目指すベンチャー企業向け「IT統制サポート」を行う。
コーポレートサイト
コーポレートサイト
月2回程度、IPO準備に役立つ情報を配信!
IPO Compassメルマガ登録はこちらから!
メルマガ登録
