ITGC(IT全般統制)とは?
ITGCとはIT全般統制(ITGC:Information Technology General Control)の略です。企業情報の信頼性を確保するため、ITシステムを運用・管理する仕組みを意味します。
ITシステムを統制するためには、定められたルールに則って、システム全体を適切に維持管理する統制活動が必要です。ITGCとはITシステムの管理そのものではなく、システムを正しく管理するための体制や取り組みを指します。
まずはITGCの目的や重要性、メリットを見ていきましょう。
ITGCの目的・目標
ITGCは企業におけるIT環境全体を、適切に統制するための包括的な管理の枠組みです。財務報告の信頼性を確保するための主な目的は、以下のとおりです。
- 財務報告の信頼性を確保する
- 会計上の取引記録の正当性・完全性・正確性を確保する
ITによる統制の大きな目的のひとつは、企業の情報システムやデータの信頼性、安全性、効率性を確保することです。システムの開発から運用、保守に至るまでの一連のプロセスを管理し、情報セキュリティを確保しながら、業務の効率化と経営目標の達成を支援します。
また内部統制の一環として、財務報告の信頼性を担保する役割も果たしています。
さらに有効なIT統制のために経営者が設定するITの統制目標には、以下のものが挙げられます。
- 有効性および効率性情報が業務に対して効果的、効率的に提供されている
- 準拠性情報が関連する法令や会計基準、社内規則等に合致して処理されている
- 信頼性情報は組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されている
- 可用性情報が必要とされるときに利用可能である
- 機密性情報が正当な権限を有する者以外に利用されないように保護されている
情報が有効に活用され、セキュリティの面でも問題なく管理されていることを保障するのが、ITGCの目的・目標です。
参考:金融庁「財務報告に係る内部統制の評価及び監査の基準」
ITGCの重要性
ITシステムの信頼性や安全性が損なわれると、業務停止や情報漏洩などの重大な事業リスクにつながります。ITGCはこれらのリスクを適切に管理し、企業価値を保護する重要な役割を果たすものです。
また情報セキュリティの脅威が高度化・多様化する中、ITGCは防御の最前線としても機能します。アクセス管理や監視体制の整備を通じて、セキュリティインシデントの予防と早期発見を可能にするのです。
さらに災害やシステム障害に備えた対策を講じることで、健全な事業継続にも貢献します。
ITGCを実装するメリット
ITGCを実装する主なメリットは、以下の3つです。
- 業務プロセスのオペレーションが良くなる
- リスクの可視化と体系的な対策が可能になる
- ステークホルダーからの信頼性が向上する
まず業務プロセスの標準化と効率化が進み、オペレーションの品質が向上します。システムの開発や変更管理が体系化されることで、プロジェクトの成功率が高まり、投資対効果も改善されることが期待できるからです。
またセキュリティの面では、リスクの可視化と体系的な対策が可能になります。インシデントの予防と早期対応により、被害の最小化と迅速な復旧が実現できます。
さらにITGCを採用することで、監査業務の効率化にもつながります。コンプライアンスの強化がされれば、ステークホルダーからの信頼も高まるでしょう。
ITGCは内部統制として法規制の遵守が促されるだけでなく、安定した企業運営にも大きなメリットをもたらすのです。
ITGCとセキュリティ
セキュリティ管理はITGCの重要な要素のひとつです。外部からのサイバー攻撃や内部不正などの脅威に対して、多層的な防御体制を構築します。
ITGCがサポートするセキュリティ対策としては、アクセス権限の適切な設定や定期的なセキュリティ評価、インシデント対応計画の整備などが含まれます。
特に重要なのが人的セキュリティの管理です。従業員教育や啓発活動を通じて、セキュリティ意識の向上を図ります。委託先や取引先を含めたサプライチェーン全体でのセキュリティ確保もITGCの範囲です。
また新しい技術やサービスの導入時には、セキュリティリスクの評価と対策が不可欠です。ITGCの枠組みによって技術革新とセキュリティのバランスを取りながら、安全なIT環境を維持していきましょう。
ITGCの構成
金融庁の「財務報告に係る内部統制の評価及び監査の基準」では、ITGCの構成について以下のように明記されています。
- 経営者は、自ら設定したITの統制目標を達成するため、ITの統制を構築する。ITに対する統制活動は、全般統制と業務処理統制の二つからなり、完全かつ正確な情報の処理を確保するためには、両者が一体となって機能することが重要となる。
ITGCは「全般統制」のことです。業務処理統制が有効に機能する環境を保証するための統制活動を意味し、複数の業務処理統制に関係する方針と手続きを指します。
ITGC(全般統制)は主に以下の4つから成り立ちます。
- システムの開発、保守に係る管理
- システムの運用・管理
- 内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
それぞれ詳しく見ていきましょう。
システムの開発、保守に係る管理
システムの開発・保守に関する管理は、ITGCの基盤となる重要な要素です。新規システムの開発や既存システムの改修において、計画から実装、テスト、リリースまでの各段階で適切な統制を行います。ITGCは開発プロジェクトの承認プロセスを明確化し、各フェーズでの品質管理を徹底するための指針となるのです。
またシステム変更管理でも、重要な役割を担います。変更要求の評価から承認・実装・検証までの一連のプロセスを統制することで、意図しない変更やシステムの不具合の防止が可能です。
さらにシステムドキュメントの管理も重要です。設計書や操作マニュアル、障害対応手順書などを適切に整備・更新することで、システムの保守性と運用効率を向上させましょう。
システムの運用・管理
日常的なシステム運用は、企業活動の継続性を支える重要な要素です。運用スケジュールの管理やパフォーマンスモニタリング、障害対応など、さまざまな業務を確実に実施する必要があります。特にバッチ処理やデータバックアップといった定期的な作業は、手順を標準化し、確実に実行する体制の整備が重要です。
さらにシステムの稼働状況を常時監視し、パフォーマンスの低下や異常を早期に検知する仕組みを構築します。障害発生時の対応手順も明確化し、迅速な復旧を可能にする体制を整えましょう。
日常的なキャパシティ管理も大切です。システムリソースの使用状況を分析し、将来的な需要予測に基づいて適切な容量計画を立案します。
ITGCはシステムの運用・管理において、安定稼働と効率的な投資を実現する役割を担うのです。
内外からのアクセス管理などシステムの安全性の確保
システムの安全性確保は、情報資産を保護するための中核的な要素です。アクセス権限の管理やセキュリティ対策の実施、監視体制の整備など、多層的に防御策を講じましょう。
ユーザーIDとパスワードの管理、特権IDの厳格な運用など、アクセス管理の基本的な統制は特に重要です。個人情報管理の面からも徹底した安全性の確保が求められます。
マルウェア対策やネットワークセキュリティの確保も不可欠です。セキュリティパッチの適用やぜい弱性管理などの予防的な対策も検討し、物理的なセキュリティも併せて考慮しましょう。
外部委託に関する契約の管理
クラウドサービスやITアウトソーシングの活用が一般的になり、外部委託の管理が重要性を増しています。委託先の選定から契約締結やサービスレベルの監視まで、一貫した管理体制が必要です。委託先の信頼性評価や契約条件の精査は、慎重に行いましょう。
可用性・性能・セキュリティなど必要な要件を明確に定義し、定期的なモニタリングを実施します。また委託先の統制状況を確認するために、定期的な監査や報告の仕組みの整備も必要です。
複数の委託先が関係する場合は、責任分界点の明確化と連携体制の構築も重要になります。インシデント発生時の対応手順や、エスカレーションルートを事前に定めることで、円滑な問題解決を目指しましょう。
ITGCを実装するには
ITGCの実装は、企業の規模や業態に関わらず重要な取り組みです。ここでは効果的な実装に向けた具体的なアプローチと、成功のための重要なポイントを見ていきましょう。
まずはITGCの役割と責任の所在を明確にする
ITGCの成功には、組織全体での明確な役割分担と責任の所在が不可欠です。まず経営層は必要な経営資源の配分と推進体制の確立に責任を持ちます。CIOやCISOが、具体的な方針の策定と実行を統括しましょう。
さらに各部門の担当者は、技術的な実装と日常的な運用管理を担当します。具体的な統制活動を実施し、有効性を継続的に評価してください。
セキュリティポリシーの遵守や情報資産の適切な取り扱いなど、日常的な統制活動の実践者は一般の従業員です。趣旨や目的を共有し、企業全体の動きとして必要な改善を推進していきましょう。
実装のプロセスと手順
組織全体でITGCへの理解が浸透したら、いよいよ実装です。まずは現状分析を通じて企業のIT環境とリスクを把握しましょう。分析結果に基づき、優先順位を付けた実装計画を策定します。
計画選定時には具体的な統制活動、実施時期、必要なリソースを明確に見極め、無理のない設定を行いましょう。
実装段階では、試行的な実施から始めるとよいでしょう。モデルとなる部署を選定し、段階的に適用範囲を拡大します。施行過程で発見された課題や改善点を反映し、実効性の高い統制活動を目指しましょう。
レビューとフォローアップ
ITGCの有効性を維持するには、定期的なレビューとフォローアップが重要です。内部監査や外部監査を通じて、統制活動の実施状況と有効性を評価します。新たなリスクが発生したり、ビジネス環境が変化したりしたときには、適切な見直しが必要です。
評価結果は経営層に報告し必要な改善策の検討と実施につなげます。特に重大な不備や課題が発見された場合は、根本原因の分析と再発防止策の策定が大切です。また改善活動の進捗状況を定期的にモニタリングし、期待された効果が得られているか確認しましょう。
継続的な改善サイクルによって、より効果的なITGCの維持・向上が可能になります。
ITGCの構築・運用・評価のポイント
ITGCの効果的な実施には、バランスの取れたアプローチが不可欠です。ここではITGC実施の成功のための重要なポイントと、実践的な評価手法についてまとめました。
統制と効率のバランスを重視する
ITGCの実施では、過度な統制は業務効率の低下を招く可能性があります。適切な統制レベルを設定し、業務効率との最適なバランスを見出すことが重要です。そのためにはリスクベースのアプローチを採用し、重要度に応じた統制の強度を設定するとよいでしょう。
高リスクの領域には厳格な統制を適用し、リスクが低い領域では簡素化された統制を採用します。重要度にあわせて統制の強度を調整することで、実際の業務における負担を軽減できます。
また自動化ツールやシステムの活用も効率化の重要な要素です。ツールやシステムの導入にあたっては、コストと効果を慎重に評価しましょう。
ルールを遵守し、定期的に評価する
ITGCの効果を持続的に維持するには、確立されたルールの遵守と定期的な評価が不可欠です。評価の際は統制活動の実施状況だけでなく、有効性も併せて検証します。サンプリング調査や詳細テストを通じて、統制が意図した通りに機能しているか確認しましょう。
評価の頻度と範囲は、ビジネスの重要度やリスクレベルに応じて設定します。重要なシステムや業務プロセスについては定期的な詳細評価を実施するなどの評価計画の立案も重要です。
評価結果は文書化し、きちんと報告資料として残しましょう。発見された課題や改善点を明確に記録し、関係者間で共有します。改善活動の進捗管理や、将来の統制設計への反映が可能になります。
フレームワークを活用する
ITGCの構築・運用において、確立されたフレームワークの活用は大きな利点をもたらします。代表的なフレームワークには、以下のものが挙げられます。
- COSO内部統制の基本的な考え方を示す国際的なフレームワークです。統制環境、リスク評価、統制活動、情報と伝達、モニタリングの5つの要素で構成され、組織全体の内部統制の設計と評価に活用されます。
- COBITITガバナンスとマネジメントのためのフレームワークで、ITに関する統制目標を体系的に整理したものです。ITプロセスの成熟度評価にも活用されます。
- ISO 27001情報セキュリティの国際規格として広く採用されています。組織の情報資産を保護するための要求事項を規定し、PDCAサイクルによる継続的な改善を重視します。
- NIST SP 800-34米国国立標準技術研究所が策定した事業継続計画のガイドラインです。ITシステムの復旧計画や緊急時対応の詳細な実践手法を提供し、災害対策の国際標準として参照されています。
- ITILITサービスの設計、移行、運用、改善に関するベストプラクティスを体系化したフレームワークです。サービスライフサイクルに基づく実践的なプロセスと手順を提供します。
企業の規模や業態、IT環境の特性を考慮し、適切にフレームワークを活用しましょう。
<関連記事>COSOフレームワークとは?種類やメリット、活用方法を解説
IPOに向けての留意点
ITガバナンスの整備は、IPOを目指す企業にとっても重要な課題です。IPOの審査ではITGCの整備状況が重点的に確認されます。
財務報告の信頼性を支える基盤として、特に会計システムとその周辺システムの統制は重要です。データの完全性と正確性を担保する統制、システムアクセスの適切な管理が必須となります。
また上場後の内部統制報告制度の対応も見据え、システム開発・変更管理、アクセス権限管理などの基本的な統制を早期に確立する必要があります。クラウドサービスやITベンダーを利用している場合は、委託先の適切な選定と管理体制の整備も優先的に整えておきましょう。
ITGCについて詳しく解説しました
ITGCの整備・運用は、企業のIT活用における基盤です。システムの開発から運用、セキュリティ確保、外部委託管理まで、包括的な統制の仕組みを構築することで、企業活動の効率性と信頼性が向上します。
近年のデジタル化の進展によって、ITGCの重要性は一層高まっています。経営者は自社の状況に応じた適切な統制レベルを設定し、組織全体でITGCを推進する体制を整えなくてはなりません。確立されたフレームワークを活用しながら、継続的な評価と改善を行うことで、持続可能なIT統制の実現を目指しましょう。