情報システムのマネージャーをしていた頃、ISMSの内部監査や審査を受けたり、内部統制やIT(情報技術)統制の監査を受けたりしましたが、当時はあまり深入りせずに対応するようにしていました。
内部統制やIT統制の目的や具体的に何をするかなどについて、興味はあったものの経営に関することなので、深入りするのを避けたというのが正直な気持ちだったようにも思います。
内部統制やIT統制のための監査があるので、ある程度の準備(これまでの対応内容の確認など)をして監査に対応をしていました。
監査にあたっては、「質問に答える」ようにすることに注意しつつ、情報セキュリティや内部統制などについて情報システムのメンバーが学ぶ場としても利用したいと考えていました。
ここでは、内部統制とIT統制について、必要性や目的などについて説明します。
内部統制やIT統制で求められることについては、レベル感ややり方の違いはありますが、いわゆる上場企業だけでなく小規模な会社にも必要なことだと考えています。
内部統制とIT統制
内部統制は、会社全体に対し行われる統制です。
- 業務の有効性や財務報告の信頼性、法令の遵守や資産保全などを目的としています。
IT統制は、あくまでIT関連のことに限定された統制です。
- 社内ITに対してのシステム管理や監査を行うことで、ITに関わるトラブルや事故を防ぐことを目的としています。
まず、内部統制の概要から説明します。
内部統制とは
内部統制では、下表の4項目が求められています。
| 項目 | 補足説明 |
|---|---|
| 業務の有効性及び効率性 | 事業活動の目的達成のために高めるべきもの |
| 財務報告の信頼性 | 財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保すること |
| 事業活動に関わる法令等の遵守 | 事業活動に関わる法令その他の規範を守ること |
| 資産の保全 | 資産の取得・使用・処分が、正当な手続き・承認をもって行われること |
上表の各項目が確実に達成されるようにするため、ITシステムを構築したりして、内部統制は業務に組み込みます。
内部統制の6要素とITへの対応
内部統制は、目的達成のために次の6個の要素から構成されます。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
上述の6要素の1つ、「ITへの対応」とは、IT環境への対応とITの利用及び統制のことです。
- IT環境への対応とは、ITを有効かつ効率的に利用についての対応(内部統制の他の要素の有効性を確保すること
- ITの利用及び統制とは、業務で利用しているITについて、内部統制を有効に機能させるため、組織目標達成のため適切な方針及び手続を定めること
IT統制とは
IT統制とは、業務でITと関わることをシステム化したり、ITに関するリスクを管理することです。
IT統制は内部統制のひとつであり、ビジネスでITを活用する機会が増えていることからも、IT統制は重要です。
以下、IT統制について説明します。
IT統制が必要な理由
IT統制が必要な理由は、
- 業務効率化
- 組織の信用を守る
ことです。
社内業務にITシステムを利用することで、業務効率化を図ることができます。
例えば、経費精算を紙の伝票を使い現金で処理していたが、ITシステムを導入することにより紙の伝票不要(ペーパレス化)に加え、確認や承認をシステムで(ハンコ無し)処理でき、現金を準備することなく精算ができるようになります。
ITシステムの導入までには、様々な問題や課題もあるようですが、ITシステムを導入してその利便性を体感すると、よい意味で元には戻れないケースが多いようです。
なお、ITシステムの導入に当たっては、現状の業務を見直しムダなことや不要なことを洗い出すことがポイントです。現状の業務を時間とコストをかけてシステムに移すと、業務効率化どころか、業務効率の低下になってしまいがちです。
ITシステム導入時のポイントを列挙します。
- 人に依存した業務は重大なトラブルの要因になるため、人に依存した業務を洗い出す。
- システムの使い方を含めた業務フローやルールを明確にする。
- システムを使う際は、IDでシステム上の権限を設定し、IDとパスワードでログインを管理します。IDやパスワードはもちろんのこと、システムで取り扱うデータの管理までルール化し、ルール通りに運用することを周知・徹底することが必要です。
IT統制の一般的な目標
IT統制の一般的な目標を以下に列挙します。
- 有効性及び効率性:情報が効果的・効率的に提供されている。
- 準拠性:法令、社内規則、会計基準などに則って情報処理されている。
- 信頼性:情報の正当性・正確性・完全性が担保されている。
- 可用性:情報が必要な時に利用できる状態にある。
- 機密性:権限者だけが情報を利用できる。
IT統制の一般的な目標は、ITシステムをどの様に運用・管理するかのヒントにもなります。
ISMS(ISO27000シリーズの情報セキュリティマネジメントシステム)でも、情報セキュリティについて同じ様な言葉がでてきます。
情報セキュリティの基本的な考え方は、
「Need to Knowの原則」
を守ることです。
IT統制の種類と主な業務
IT統制は、IT全般統制(ITGC)とIT業務処理統制(ITAC)に分けられます。
業務としては、次の3つの業務に分かれます。
IT全社統制にあたる主な業務
- システム開発・保守に係る管理
- システムの運用・管理
- システムの安全性の確保
- 外部委託に関する契約の管理
IT全般統制(ITGC)にあたる主な業務
- システム開発・保守に係る管理
- システムの運用・管理
- 内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
IT業務処理統制にあたる主な業務
- 入力情報の完全性・正確性・正当性等を確保する統制
- 例外処理(エラー)の修正と再処理
- マスタ・データの維持管理
- システムの利用に関する認証・操作範囲の限定などアクセスの管理
IT統制の担当部門と役割
ITシステムは、基幹システムとインフラに大きく分かれ、ITシステムに関する専門知識や技術を持つメンバー(社員)で構成されます。
- 基幹システム:全社で使われる社内システムです。
- インフラ:電話、PC、サーバーなど、社外のデータセンターやクラウドを利用することもあります。
IT統制は、情報システム部門と内部監査部門が担当するケースが多いです。
- 情報システム部門は、ITシステムの開発(導入)・運用・管理(保守)を担当します。
- 内部監査部門は、ITシステムが会社の目標やルールにそって運用されているかチェックします。
まとめ
情報システムのマネージャーをしていた頃、ISMSの内部監査や審査を受けたり、内部統制やIT(情報技術)統制の監査を受けたりしました。
内部統制やIT統制の目的や具体的に何をするかなどについて、興味はあったものの経営に関することなので、深入りするのを避けたいというのが正直な気持ちだったようにも思います。
ここでは、内部統制とIT統制について、必要性や目的などについて、以下の項目で説明しました。
- 内部統制とIT統制
- 内部統制とは
- 内部統制の6要素とITへの対応
- IT統制とは
- IT統制が必要な理由
- IT統制の一般的な目標
- IT統制の種類と主な業務
- IT全社統制にあたる主な業務
- IT全般統制(ITGC)にあたる主な業務
- IT業務処理統制にあたる主な業務
- IT統制の担当部門と役割
