IT統制におけるシステム管理部門の役割とは
2022/5/19公開
社内外とのメールのやり取りや出退勤管理をはじめ、今や多くの企業にとってITシステムはなくてはならない存在です。しかし、方針やルールを決めずになんとなくで使っていては、不適切な会計処理や人為的なミスによる情報漏洩などが発生し、会社の信用問題に発展しかねません。ITシステム利用の際の事故を防止し、事故発生時の対処法を明確にするために欠かせないのがIT統制です。
本記事では、IT統制とはなにか、また社内のシステム管理部門がどのようにIT統制を進めていくべきなのかをご紹介します。
目次
IT統制とは
IT統制とは、内部統制を構成する要素の一つである「ITへの対応」を実現するための仕組みのことを指します。具体的には、日々の企業活動においてITを有効かつ適切に利用できる体制を構築し、維持・管理していく活動です。社内のITシステム利用時のリスクマネジメントができるのはもちろん、上場企業に求められる基準であり、年々重視されてきています。
内部統制について詳しくはこちらの記事をご覧ください。
IT統制の目的
IT統制の目的は、社内のIT利用に関するルールや仕組みを整備し、それらを評価することで、健全な企業活動を実現することです。
現代では多くの企業が何らかのITシステムを利用しており、もはやITなくしては日常業務が成り立たないと言っても過言ではありません。
ITシステムは便利であると同時に、不正アクセスによる情報漏洩、内部不正によるデータ改ざんといったリスクをはらんでいます。意図的な粉飾はもちろん、意図しない数字の入力ミスなどの誤ったデータを使用してしまうことで、財務報告の信頼性が保証されなくなる恐れもあります。IT統制を整備することで健全な企業活動を行うことができ、さらに企業としての信頼度アップに繋がります。
また、IT統制は内部統制に含まれる必須項目でもあります。IPOを目指す場合にもIT統制の整備は避けられません。IT統制がきちんとなされているかどうかは、監査法人によるIT監査や、社内のシステム監査でチェックされます。
IT監査とは
IT監査とは、公認会計士などの監査人による会計監査の中で実施する項目の一つです。監査人が、財務報告が適正であるかどうかを判断するために、企業で行われているすべての取引をチェックすることは現実的に不可能です。そのため、その土台となるITシステムの仕組みが基準を満たしているか、また正しく運用されているかどうかをチェックします。それによりITシステムの信頼性が確保されることで、取引の一部(サンプル)のみの監査で財務諸表全体の監査ができるとされています。監査対象システムは多岐にわたり、直接会計に関わらない機能も含む場合があります。
IT監査とシステム監査の違い
IT監査とよく混同されるのが「システム監査」です。ともにITシステムに関する社内の仕組みをチェックし、コントロールするという部分では同じですが、最終的な目的、実施方法に違いがあります。
| IT監査 | システム監査 | |
|---|---|---|
| 目的 | 財務報告の適正性チェック | 企業で自由に設定可能(例.セキュリティ管理体制チェックのため) |
| 方法(種類・時期・範囲) | 法律・監査基準等のルールに従う必要あり | 企業で自由に設定可能(例.社員への聞き取り調査という形で実施) |
| 監査人 | 監査法人など企業から独立した監査人 | 企業で自由に設定可能 |
IT監査は財務報告の適正性のチェックを目的としており、監査の方法や監査人が法律で決まっています。
一方、システム監査はあくまで社内のシステムが正常に運用されているかどうかを確認するものであり、目的、時期や範囲、監査人などを企業で自由に設定可能です。そのため、システム開発の品質向上を目的にしたり、繁忙期を避けた時期で実施したり、社内のシステム管理部門がチェックを行ったりと、企業の規模や課題に合わせて実施することができます。
IT監査とシステム監査の詳しい違いについては、こちらの記事をご覧ください。
IT統制を支える3つの柱
IT統制は「IT全社統制」「IT全般統制」「IT業務処理統制」の3つの項目から構成されます。基本的には、この3つの統制を順に整備していくことでスムーズにIT統制を進めることができます。
IT全社統制
IT全社統制は、グループ会社を含む全社の情報システムを適正に運用するための方針や計画、ルールを構築し、さらにそれらが適切に実施されているかどうかをモニタリングする仕組みのことです。
IT統制を行うための基本的な枠組みとなるため、IT統制を整備する際に真っ先に取り掛かるべき部分となります。例えば、ITを活用するための基本方針や規定を定めた「情報セキュリティポリシー」を作成し、社内に周知することがIT全社統制にあたります。IT統制はITを利用する社員一人ひとりが関わるものであるため、枠組みを作るだけでなく、しっかりと教育を行うこともIT全社統制の一部となります。
IT全般統制
IT全般統制とは、実際にシステムが適切に機能するための整備、管理を行うことを指します。後述するIT業務処理統制が有効に機能する環境を保証するための統制で、以下の4つから成り立っています。
- システムの開発、保守に係る管理
- システムの運用・管理
- 内外からのアクセス管理等のシステムの安全性の確保
- 外部委託に関する契約の管理
具体的には、システム開発に際して仕様を明確にすること、異動や退職した社員に特定のITシステムを利用できなくするアクセス制御やバックアップに関する管理などの仕組み作りがIT全般統制にあたります。
IT業務処理統制
IT業務処理統制とは、実際の業務において正確なデータ処理および記録をするために業務プロセス自体に組み込まれた統制のことです。システムそのものではなく、処理が正確かつ安全に行われているかどうかを確認するものであり、具体的には以下の4つに分類されます。
- 入力情報の完全性、正確性、正当性等を確保する統制
- 例外処理(エラー)の修正と再処理
- マスタ・データの維持管理
- システムの利用に関する認証、操作範囲の限定などアクセスの管理
例えば、ITシステム上の金額入力画面で金額が未入力のままだと次の工程に進めないような制御、一度入力したデータが他のシステムに正しく転記される統制、特定の人にのみアクセス権限を設定することなどです。
もともとは手作業でやっていた統制をITシステムに組み込んだものであるため、ITシステムに組み込まれて自動化されたもののほかに、ITシステムによって判別されたエラーを人が照合・修正するといった手作業とITシステムが一体となった統制も含みます。
システム管理部門が担う役割
IT統制の構築にはシステム運用のための方針決定から、実務ベースでの運用チェックまで、実に幅広い内容が含まれます。また、ITは日々めまぐるしく進化しており、常に情報のアップデートが欠かせません。専門的な知識や技能が必要になることも多く、システム管理部門や情報システム部門と呼ばれる部署がIT統制推進の核となるでしょう。システム管理部門が社内にない場合は、経営管理部門やインフラ部門などが役割を担う場合もあります。
IT統制では「IT全社統制」「IT全般統制」「IT業務処理統制」それぞれが適切に制定、実施されているかを随時チェックし、改善を行っていくことがポイントです。システム管理部門が先導役となり、社内全体に正しくITリテラシーを浸透させることで、スムーズにIT統制の仕組みを構築化することができます。
IT統制を適切に行うために
実際に社内でIT統制を行っていくうえで、どんな方法が有効なのでしょうか。ここでは3つのアイデアをご紹介します。
①社内の評価基準を設定
IT統制はシステムの実施・運用だけでなく、その評価までを含んでいます。そのため、ITシステムを使う上で、事前に適切な評価基準を定めることが欠かせません。
まずは、「IT全社統制」をもとに社内の目標を明確にし、ルールと評価ポイントを定めましょう。IT統制は、一度定めたらそれで終わりというものではありません。業務内容の変更や環境に合わせて、評価ポイント自体も定期的にチェックし、不備や不都合があれば都度改善していくことが望ましいです。
また、自社で開発したITシステムを使用している場合、システム管理部門は評価の独立性を保てなかったり、IT技術に関わるリスクを重視するあまり評価基準から逸脱し、俯瞰的に評価することが難しくなる危険性があります。そのような事態を避けるために、社内に内部監査部門があればシステム管理部門と協力して評価を行うとよりよいでしょう。
②チェックリストを利用
評価基準を設定したら、それに対応したチェックリストを作成し実際に評価を行っていきます。リストは「IT全社統制」「IT全般統制」「IT業務処理統制」それぞれで項目を作り、一つひとつの項目が整備・運用できているか、またそれらをどのように確認するかも記載するといいでしょう。リストをもとにチェックするのはシステム管理部門とは限りません。内部監査部門といった専門的なIT知識をもたない担当者でもチェックできるリストであることが重要です。
チェックリストも評価基準に合わせ、業務内容にそぐわない部分はないか、漏れがないかなどを適宜確認、更新する必要があります。 チェックリストを作る際はJ-SOX(内部統制報告制度)を利用するのもおすすめです。J-SOXは内部統制の実施基準を42項目で定めており、その中にはIT統制についても含まれます。この実施基準から逆算して自社の評価基準を設定すると、チェックリストが作りやすくなるでしょう。
③内部統制を担保できるシステムを導入
IT統制を行うためには、IT全般統制とIT業務処理統制に求められる機能を備えたITシステムであることが不可欠です。システム管理部門が自ら設計することも可能ですが、IT統制の仕組み作りから評価基準の制定、さらに実際のシステム開発もとなると時間もコストもかかってしまい、その負担ははかり知れません。
内部統制を担保できる基幹システムやERPなら、「データ入力の正確性」や「アクセス権のコントロール」などIT統制上で必要な機能があらかじめ備わっているため、システム管理部門に過度な負担をかけることなく、IT統制を強化することが可能になります。
ERPはもともと、企業内における各種資源の最適な配置や業務効率の向上を目的に用いられてきたという背景があります。そのため、ヒューマンエラーをなくし業務間のデータの整合性・正確性を担保する仕組みが標準搭載されているのです。システムの開発段階において信頼性が保証されているため、IT統制に求められる基準を満たしていると見なすことができ、IT統制推進の足掛かりに適しています。
繰り返しになりますが、IT統制は運用・評価・改善までを含みます。そのため、可能な限り負担が少ない状態で、このサイクルを回し続けられる環境づくりが大切です。
まとめ
安定したITシステムの運用を行うために欠かせないIT統制。IT知識のあるシステム管理部門が主導となって、ルール決めや運用、評価を制定、周知することがIT統制をスムーズに推進するためのカギとなります。ただし、IT統制を一から行うことや、システム管理部門のみがすべてを担当することは大きな負担となります。社内の協力体制の構築や、IT統制を担保できるシステム導入を検討することがおすすめです。
