IT統制とは?|コラム|IPO Compass

IT統制とは?

IT統制とは、ITに関するリスクを管理し、ITリスクを適切にコントロールする仕組みを構築し運用するための活動のことです。IT全社的統制・IT全般統制(ITGC)・IT業務処理統制(ITAC)における構築・運用・評価のポイントを解説します。
更新:2023年11月30日

1.IT統制とは

IT統制とは、ITに関するリスクを管理し、ITリスクを適切にコントロールする仕組みを構築し運用するための活動のことです。

IT統制で行うべきことを理解するためには、まず内部統制とIT統制の関連性について理解する必要があります。金融庁が公表する「財務報告に係る内部統制の評価及び監査の基準」によると、内部統制の4つの目的を達成するために6つの基本的要素があり、そのうちの一つに「ITへの対応」が挙げられています。

  • ① 統制環境
  • ② リスクの評価と対応
  • ③ 統制活動
  • ④ 情報と伝達
  • ⑤ モニタリング(監視活動)
  • ⑥ IT(情報技術)への対応
出典:金融庁「財務報告に係る内部統制の評価及び監査の基準」

【関連コラム】 内部統制とは?4つの目的・6つの基本的要素から上場準備との関係を解説

「ITへの対応」は、他の基本的要素と独立して存在するものではなく、内部統制の目的を達成するために不可欠な要素として存在します。例えば、「情報と伝達」において、把握した情報をITシステムで一元管理し社内で周知するといったように、「ITへの対応」は他の要素とも深く関連しています。現在、ほとんどの企業がITシステムなしで業務を遂行することは困難ですので、内部統制の目的を達成するために必要不可欠な要素がITへの対応であり、IT統制であると言えます。

つまり、内部統制における重要な一要素としてIT統制がある、ということです。

内部統制の4つの目的を達成するために6つの基本的要素の中の「ITへの対応」
▲内部統制4つの目的を達成するために必要な6つの基本的要素のうちの1つが「ITへの対応」

2.IT統制の種類(IT全社的統制とは、IT全般統制(ITGC)とは、IT業務処理統制(ITAC)とは)

「財務報告に係る内部統制の評価及び監査の基準」において、内部統制の目的を達成するための基本的要素の一つである「ITへの対応」は、「IT環境への対応」「ITの利用」「ITの統制」から構成されると定義されています。

ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいう。
ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。
ITへの対応は、IT環境への対応とITの利用及び統制からなる。 出典:金融庁「財務報告に係る内部統制の評価及び監査の基準」

IT環境への対応およびITの利用を行うための仕組みとしてIT全社的統制があり、ITの統制を行うための仕組みとしてIT全般統制(ITGC)およびIT業務処理統制(ITAC)があります。
IT統制はこれら3つから構成されます。

  • ・IT全社的統制:経営レベルでのコントロール
  • ・IT全般統制(ITGC):ITシステムの環境を保証するためのコントロール
  • ・IT業務処理統制(ITAC):ITシステムを用いた業務を正確に行うためのコントロール

それぞれの詳細について解説します。

2-1.IT全社的統制

内部統制における基本的要素から「ITへの対応」を除いた5つ(統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング)に対して、有効性を確保するための取り組みがIT全社的統制です。ITを有効かつ効率的に利用するためには、全社的な取り組みとして対応する必要があります。

全社的な取り組みとして、具体的には以下の点が挙げられます。
  • ・戦略的かつ計画的にITの導入や管理を行うためにITに関する戦略、計画、予算等を策定する
  • ・IT戦略や年度計画を関係者へ伝達する
  • ・IT戦略を実行できる体制を整備する
  • ・社内でITに係る教育や研修の方針を策定する
  • ・ホームページ等で組織外部に対してセキュリティポリシー等を公開する
  • ・定期的なシステム監査を実施する

2-2.IT全般統制(ITGC)

業務プロセスにおける不正や誤謬を防ぐための仕組み(業務処理統制)が、有効に機能する環境を保証するための取り組みがIT全般統制(ITGC)です。

環境を保証する取り組みとして、具体的には以下の点が挙げられます。
  • ・システムの開発、保守に係る管理(各工程でのレビュー・承認、必要な文書作成等)
  • ・システムの運用・管理(プログラム変更時の手続きや運用ルール等)
  • ・内外からのアクセス管理などシステムの安全性の確保
  • ・外部委託に関する契約の管理

【関連コラム】 IT全般統制(ITGC)とは?

2-3.IT業務処理統制(ITAC)

業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するための取り組みがIT業務処理統制(ITAC)です。

正確に処理、記録されるための取り組みとして、具体的には以下の点が挙げられます。
  • ・入力情報の完全性、正確性、正当性等を確保する統制(承認機能の設定有無等)
  • ・例外処理(エラー)の修正と再処理
  • ・マスタ・データの維持管理
  • ・システムの利用に関する認証、操作範囲の限定などアクセスの管理

【関連コラム】 IT業務処理統制(ITAC)とは?IT全般統制との違い、具体例、対応のポイントを解説

3.IPOに向けたIT統制への対応ポイント

では、IPOに向けてどのようにIT統制への対応を行えばよいのでしょうか。
IT統制の構築と、評価・改善の2段階の対応が必要です。

3-1.IT統制の構築

まず実施すべきは現状把握です。
現在、IT統制への対応がまったくできていない状況なのか、あるいは一部だけは対応できている状況なのか、どこまでIT統制の対応ができているのかを正確に把握する必要があります。なぜなら、現在地が分からないと、目標地までの道のりが分からないからです。

なお、現状把握では大きく「システム」と「業務・ルール」の2点を確認します。

システムにおいては、現在社内で利用しているシステムをすべて把握します。会計システム、販売管理システム、営業支援システム、チャットツール等、社内には様々なシステムが存在します。まずはそれらを一覧化します。

業務・ルールにおいては、社内規程の整備状況および主要な事業における業務の大まかな流れを把握します。例えば、業務分掌が明確に定義されているのか、受注時に上長の承認を行うような業務プロセスになっているのか、といった点を確認します。

現状把握として、IT統制の対応状況を確認するために、以下のようなチェックリストを活用することもお勧めです。

エッグシステム社作成 「IT統制チェックリスト」(一部抜粋)
▲エッグシステム社作成 「IT統制チェックリスト」(一部抜粋)

【IT統制チェックリストを活用した事例】2022年4月上場・株式会社ASNOVA様のIT統制構築方法は?

現状把握が終わった後は、目指すべき状態とのギャップを分析します。目指すべき状態とは、「全社的なIT統制」「IT全般統制(ITGC)」「IT業務処理統制(ITAC)」をすべてクリアしている状態です。

現状と目指すべき状態とのギャップが、そのまま対応すべき事項となります。

例えば、現在利用している基幹システムはコスト重視で選定したため承認機能やログ監査等の機能がなくIT統制に対応できていない、ということが判明した場合は基幹システムのリプレイスが必要です。当然ながら、新たに導入する基幹システムはIT統制に対応したものを選定しなければいけません。

【経済産業省】会計システムに求められる機能一覧表(奉行クラウド版)バナー

このように、現状を把握し、目標とのギャップを分析して対応することでIT統制環境を構築します。先述のとおり、システムのリプレイスが必要となる可能性もあり、特に基幹システムのリプレイスは1年近い期間を要することもありますので、N-2期にはIT統制環境の構築へ着手することが望ましいと言えます。

【関連コラム】 2021年IPO企業の半数以上が導入する業務システムの実力。コロナ禍が求めるシステムを提供し広く全国でIPO準備企業を支援

3-2.IT統制の評価・改善

IT統制環境を構築できたら終わりではなく、評価・改善が必要です。

社内リソースの問題等により、一度にすべてを対応することは現実的には難しいと考えられますので、評価・改善をしながらIT統制環境をより強固なものにしていきます。

また、規程を作成し運用ルールを定めたものの、実際に運用してみると現場への業務負荷が高く、継続的に運用していくのが困難だと判明することもあります。IT統制環境の構築と業務効率性はトレードオフの関係にあるケースがあるためです。

IT統制への対応を優先にするあまり、厳しすぎる運用ルールを定めた結果、現場では誰もその運用ルールを守らない、となってしまっては本末転倒です。そのため、実際に現場で運用できるかどうかという視点でも評価・改善を行う必要があります。

IT統制の環境構築をN-2期からN-1期にかけて行う場合、IT統制の評価・改善はN-1期からN期にかけて実施することが望ましいと言えます。

IT統制構築の構築スケジュール
▲IT統制の構築スケジュール

4.まとめ

IT統制の定義からIPOに向けて行うべき具体的な内容まで解説いたしました。
IT統制は内部統制の中で重要な一要素であることを理解いただけたのではないかと思います。

IPOするためには内部統制およびIT統制への対応は必須です。内部統制への対応ができていないと、最悪の場合、内部統制監査をクリアできないという事態にも陥ります。

IT統制環境の構築には、社内インフラの整備・社内ルールの整備・基幹システムのリプレイスなどの会社全体に影響を及ぼす取り組みが多く含まれるため、会社にとっても重要な取り組みです。出来ればN-2期ではIT統制環境を構築し、N-1期に評価・改善を行った上で、問題ない状態で申請期を迎えられるように早い段階から準備を進めることが肝要です。
IT統制サポート
よくあるご質問
IT統制とは何ですか?
IT統制とは、ITに関するリスクを管理し、ITリスクを適切にコントロールする仕組みを構築し運用するための活動のことです。
内部統制とIT統制の関連性
内部統制の目的を達成するための基本的要素として「ITへの対応」があり、これがIT統制と言えます。
IT統制の構成要素は?
IT全社的統制(経営レベルでのコントロール)、IT全般統制(ITGC、ITシステムの環境を保証するためのコントロール)、IT業務処理統制(ITAC、ITシステムを用いた業務を正確に行うためのコントロール)の3つで構成されます。
関連コラム
IPO準備段階でシステムを見直すことは多々あります。しかし本当にリプレイスは必要なのでしょうか?必要なのであれば、いつどのようなシステムにリプレイスすべきなのでしょうか?過去5年、奉行シリーズでIPOした企業177社のデータに基づき、IPO準備段階におけるシステムリプレイス事情を解説。
IPO前に会計システムのリプレイスは必要?
更新:2024年5月15日
2019年3月に東証マザーズに上場したクラウド人材管理システム「カオナビ」を提供する株式会社カオナビ。同社の上場に貢献し、会計インフラを支えているのは勘定奉行V ERPだ。上場時に求められるIT統制、管理会計・原価管理を奉行で実現し、奉行がなければ上場は果たせなかったとまで語る理由は何か?
監査法人からのIT統制への指摘ゼロ、上場企業レベルの管理会計も同時実現。2019年3月上場、「カオナビ」が奉行を選択した理由
2020年3月9日
上場を目指す建設テックのクラッソーネ。上場に耐えうるシステムとは?なぜクラウドERPを条件にしたのか?上場経験もある総務経理部CAO・森智也氏が奉行クラウド選定の理由を語る
クラウド型ERPの導入で部分最適から全体最適へ。 上場経験者が奉行クラウドを選んだ理由とは?
更新:2022年6月30日
内部統制とは何か。4つの目的と6つの基本的要素を確認。内部統制報告制度への対応で求められる体制整備はどう構築するか?3点セットは必要なのか?
内部統制とは?4つの目的・6つの基本的要素から上場準備との関係を解説
更新:2023年11月28日
2021年IPO企業125社のうち70社が導入した奉行シリーズ。約4割が東京都以外のエリアに位置し、全国で導入が進む。選ばれる理由は何か?また、同社が力を入れるIPO準備企業への支援とは。同社代表の和田氏と堀江氏に話を聞いた。
2021年IPO企業の半数以上が導入する業務システムの実力。コロナ禍が求めるシステムを提供し広く全国でIPO準備企業を支援
2022年4月14日
IT全般統制(ITGC)とは、企業情報の信頼性を確保するために利用するITシステムを、適切に運用管理する仕組みのことです。どのように構築・運用・評価をするのか。IPO実現に向けての留意点は何か。エッグシステム高橋氏が解説。
IT全般統制(ITGC)とは?
更新:2023年11月28日
IT業務処理統制(ITAC)とは、ITシステムを用いた業務を適切に行うための仕組みのことです。IT全般統制(ITGC)との違い、ITに係る業務処理統制の具体例、IPOに向けたITACへの対応ポイントを解説します。
IT業務処理統制(ITAC)とは?IT全般統制との違い、具体例、対応のポイントを解説
更新:2023年11月28日
執筆
 株式会社エッグシステム <br>代表取締役<br>高橋 翼氏
株式会社エッグシステム
代表取締役
高橋 翼氏
IT戦略・システム化計画策定から、システム開発・運用保守、マネジメント、ITガバナンスまで幅広い業務経験を経て2017年に株式会社エッグシステム創業。中小企業向けにITシステムによる売上拡大・業務効率化を実現する「コンサルティングエンジニアサービス」、IPOを目指すベンチャー企業向け「IT統制サポート」を行う。
コーポレートサイト

月2回程度、IPO準備に役立つ情報を配信!
IPO Compassメルマガ登録はこちらから!

メルマガ登録
コラム一覧に戻る
《無料》IPOお役立ち資料
この1冊ですべてわかる!経営者のためのIPOバイブル
奉行シリーズは、IPO実現企業の60%に選ばれています。導入のご相談はこちら!
IPOCompassCTA_会計システムに求められるIT統制対応機能一覧表(横280×縦336px))
お気軽にご相談ください

製品・サービスの導入のご相談ついて、専任スタッフがあなたの疑問にお応えいたします。

導入のご検討のお客様専用ダイヤル

0120-121-250

10:00〜12:00/13:00〜17:00
(土・日・祝日を除く)