IT業務処理統制(ITAC)とは?IT全般統制との違い、具体例、対応のポイントを解説
更新:2023年11月28日
目次
1.ITAC(ITに係る業務処理統制)とは?
IT業務処理統制(Information Technology Application Control)とは、ITシステムを用いた業務を適切に行うための仕組みのことです。
金融庁が公表する「財務報告に係る内部統制の評価及び監査の基準」では以下のように定義されています。
内部統制で最も重要な目的の一つが「財務報告の信頼性」です。簡単に言うと、正しく会計処理を行い、正確な数字が反映された財務諸表を作成することです。
財務諸表を作成するためには、受注データ、発注データ、売上データ、仕入データ、在庫データ等が必要で、これらのデータは販売業務、購買業務、入出荷業務、在庫管理業務等の様々な業務プロセスを行うことで生成されます。
システムを使って各種業務を行う場合、各業務システムで生成されたデータが最終的には会計システムへ流れ、会計システム内で財務諸表の作成が行われます。
つまり、各業務プロセスを正確に処理して正しいデータを生成することが、財務報告の信頼性に直接関わるということです。
そのため、業務プロセスが正確に処理、記録されることを担保する仕組みとしてIT業務処理統制が必要です。
金融庁が公表する「財務報告に係る内部統制の評価及び監査の基準」では以下のように定義されています。
IT業務処理統制とは、業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを担保するために業務プロセスに組み込まれたITに係る内部統制のことである。 出典:金融庁「財務報告に係る内部統制の評価及び監査の基準」
内部統制で最も重要な目的の一つが「財務報告の信頼性」です。簡単に言うと、正しく会計処理を行い、正確な数字が反映された財務諸表を作成することです。
財務諸表を作成するためには、受注データ、発注データ、売上データ、仕入データ、在庫データ等が必要で、これらのデータは販売業務、購買業務、入出荷業務、在庫管理業務等の様々な業務プロセスを行うことで生成されます。
システムを使って各種業務を行う場合、各業務システムで生成されたデータが最終的には会計システムへ流れ、会計システム内で財務諸表の作成が行われます。
つまり、各業務プロセスを正確に処理して正しいデータを生成することが、財務報告の信頼性に直接関わるということです。
そのため、業務プロセスが正確に処理、記録されることを担保する仕組みとしてIT業務処理統制が必要です。
2.IT業務処理統制とIT全般統制の違い
IT統制は「IT全社的統制」「IT全般統制(ITGC)」「IT業務処理統制(ITAC)」から構成されます。
【関連コラム】 IT統制とは?
▲財務報告とIT統制との関係
IT全社的統制は、IT戦略の策定やシステム管理体制の整備等、全社的な取り組みを指します。
一方で、IT全般統制とIT業務処理統制はどちらもプロセスに関する統制の仕組みを指していますが、その目的と対応スコープに違いがあります。
IT全般統制とは、企業情報の信頼性を確保するために利用するシステムを、適切に運用管理する仕組みのことで、業務の種類を問わず社内全体のシステム運用管理の統制が目的です。具体的には、システムの開発、保守に係る管理、システムの運用・管理、内外からのアクセス管理などシステムの安全性の確保、外部委託に関する契約の管理等が該当します。
【関連コラム】 IT全般統制(ITGC)とは?
一方、IT業務処理統制は、業務ごとに行われる処理や記録を統制することが目的です。対応範囲は各業務のため、IT全般統制と比べるとより細かい対応が必要です。
また、IT統制への対応の流れについては、まず会社全体のIT統制環境を整備するために「IT全社的統制」への対応を行い、次に社内システムの環境を整備するために「IT全般統制」へ対応します。これらのベースとなる仕組みがあった上で、各業務を適切に行うために「IT業務処理統制」へ対応します。
▲IT統制の構築・整備の一般的な流れ
【関連コラム】 IT統制とは?
▲財務報告とIT統制との関係
IT全社的統制は、IT戦略の策定やシステム管理体制の整備等、全社的な取り組みを指します。
一方で、IT全般統制とIT業務処理統制はどちらもプロセスに関する統制の仕組みを指していますが、その目的と対応スコープに違いがあります。
IT全般統制とは、企業情報の信頼性を確保するために利用するシステムを、適切に運用管理する仕組みのことで、業務の種類を問わず社内全体のシステム運用管理の統制が目的です。具体的には、システムの開発、保守に係る管理、システムの運用・管理、内外からのアクセス管理などシステムの安全性の確保、外部委託に関する契約の管理等が該当します。
【関連コラム】 IT全般統制(ITGC)とは?
一方、IT業務処理統制は、業務ごとに行われる処理や記録を統制することが目的です。対応範囲は各業務のため、IT全般統制と比べるとより細かい対応が必要です。
また、IT統制への対応の流れについては、まず会社全体のIT統制環境を整備するために「IT全社的統制」への対応を行い、次に社内システムの環境を整備するために「IT全般統制」へ対応します。これらのベースとなる仕組みがあった上で、各業務を適切に行うために「IT業務処理統制」へ対応します。
▲IT統制の構築・整備の一般的な流れ
3.ITに係る業務処理統制の具体例(5つの要素)
経済産業省が公表するシステム管理基準追補版では、IT業務処理統制の例示として以下5つの要素が挙げられています。それぞれについて詳しく解説します。
出典:経済産業省「システム管理基準追補版」
- (1) 入力管理(入力統制)
- (2) データ管理(処理統制)
- (3) 出力管理(出力統制)
- (4) スプレッドシート等
- (5) IT業務処理のリスクコントロールマトリックスについて
3-1.入力管理(入力統制)
システムを使って業務を行う際、入力するデータに重複がなく、正しいデータのみが入力される仕組みのことです。
システムへ入力するデータに誤りがあると、当然ながら信頼性のある財務諸表を作成することができないため、データ入力時の統制は重要です。具体的には、データ入力時のルールやマニュアルを整備すること、システムの機能を用いて申請・承認を行うことで入力データの妥当性・正確性を確認すること、等が挙げられます。
■入力管理の例
システムへ入力するデータに誤りがあると、当然ながら信頼性のある財務諸表を作成することができないため、データ入力時の統制は重要です。具体的には、データ入力時のルールやマニュアルを整備すること、システムの機能を用いて申請・承認を行うことで入力データの妥当性・正確性を確認すること、等が挙げられます。
■入力管理の例
| リスク | 統制の対応例 |
| 入力データの誤りや不正な入力が発生する。 | ①入力手順を明記したマニュアルを準備し、マニュアルに基づいてデータ入力を行う。 |
| ②入力後のデータは担当者がセルフチェックをした上で申請し、上長が内容を確認することでダブルチェックを行う。 |
※横スクロールできます。
3-2.データ管理(処理統制)
EDI等によるデータの授受や複製、管理等の一連の作業を適切に管理し、データの正確性を担保する仕組みのことです。
昨今では受注データや購買データ等を社外のシステムから受信することが少なくありません。その際に、例えば送信元が正しい得意先であることを確かめる仕組みがないと、受注や購買のデータが正当であることを担保できません。
■データ管理の例
昨今では受注データや購買データ等を社外のシステムから受信することが少なくありません。その際に、例えば送信元が正しい得意先であることを確かめる仕組みがないと、受注や購買のデータが正当であることを担保できません。
■データ管理の例
| リスク | 統制の対応例 |
| 社内システムへ不正なアクセスが行われ、誤りのあるデータが取り込まれる。 | ①社内システムへアクセスしデータ連携する際にはIPアドレス制御を行い、許可されたIPアドレスからのアクセスのみ許容する。 |
| ②データ連携時には常にネットワークの監視を行い、不正なアクセスは検知・制御する。 | |
| 送信されたデータに誤りがあり、誤ったデータのまま処理される。 | ①データ取り込み時にプログラムでチェック処理が行われ、重複データや異常データは取り込みしない機能を組み込む。 |
※横スクロールできます。
3-3.出力管理(出力統制)
システムから出力するデータの作成、授受、管理等の一連の作業を適切に管理し、データの正確性を担保する仕組みのことです。
例えば、製品を出荷した後にシステムから出力する出荷データに誤りがあると、その後の売上計上処理に影響が出てしまい、誤った売上が計上されてしまいます。
■出力管理の例
例えば、製品を出荷した後にシステムから出力する出荷データに誤りがあると、その後の売上計上処理に影響が出てしまい、誤った売上が計上されてしまいます。
■出力管理の例
| リスク | 統制の対応例 |
| システムから出力されたデータに誤りがある。 | ①データ出力手順を明記したマニュアルを準備し、マニュアルに基づいてデータ出力を行う。 |
| ②出力後のデータを担当者以外が確認するよう、チェック体制を組む。 | |
| システムから出力したデータに対して改ざん等が不正に行われる。 | ①システムから出力したデータは、手作業で編集できないようにし、出力したデータはそのままシステム間のデータ連携のみに利用できるように制御する機能を組み込む。 |
| ②出力後のデータに関する引き渡し手続き等のルールを定め、規程に明記する。 |
※横スクロールできます。
3-4.スプレッドシート等
スプレッドシートとは表計算ソフト全般(ExcelやGoogleスプレッドシート等)のことを指します。
会計システム等の業務システムを利用しながら、システム外でスプレッドシート等を使って業務効率化を図っている会社が多いのですが、スプレッドシート等では業務システムほどしっかりと作り込まれた仕組みではないため、リスクが高く、統制上も注意が必要です。
例えば、担当者がマクロや数式を作っていた場合、マクロのプログラムミスや数式誤りがあると正しい数字が計算されなくなってしまうからです。
■スプレッドシート等の例
会計システム等の業務システムを利用しながら、システム外でスプレッドシート等を使って業務効率化を図っている会社が多いのですが、スプレッドシート等では業務システムほどしっかりと作り込まれた仕組みではないため、リスクが高く、統制上も注意が必要です。
例えば、担当者がマクロや数式を作っていた場合、マクロのプログラムミスや数式誤りがあると正しい数字が計算されなくなってしまうからです。
■スプレッドシート等の例
| リスク | 統制の対応例 |
| スプレッドシート等で誤処理や改ざんが行われる。 | ①業務で利用するスプレッドシート等を事前に複数人でチェックしてマクロや数式の誤りがないことを確認する。 |
| ②上長が承認を行い、承認を受けたスプレッドシート等のみ利用する。 | |
| ③スプレッドシート等は財務担当者のみが閲覧・編集できるように権限制御する。(または財務担当者だけがアクセスできるファイルサーバ上に保存する) | |
| PCの故障等によりスプレッドシート等が破損し、財務報告を適切に行えない。 | ①スプレッドシート等は定期的にバックアップを取り、安全に保管する。 |
※横スクロールできます。
3-5.IT業務処理のリスクコントロールマトリックスについて
上記で解説した各統制内容から分かるように、IT業務処理統制では想定されたリスクから財務情報の信頼性(完全性、正確性、正当性)を確保する仕組みを設けることが重要です。
リスクと対策を整理するためには、「リスクコントロールマトリクス(RCM)」を作成することが適しています。
▲リスクコントロール(RCM)サンプル(出典:経済産業省「システム管理基準 追補版」)
リスクと対策を整理するためには、「リスクコントロールマトリクス(RCM)」を作成することが適しています。
▲リスクコントロール(RCM)サンプル(出典:経済産業省「システム管理基準 追補版」)
4.IPOに向けたIT業務処理統制への対応ポイント
次にIT業務処理統制へ対応するためのポイントを解説します。
4-1.IT業務処理統制の構築
財務情報に影響する業務プロセスにおける処理方法を分類すると「自動化された処理」と「手作業の処理」に分けることができます。
IT統制の観点で考えると、当然ながら人の手が入らないほうが誤入力や誤処理、不正な改ざん等の発生リスクを低減することができます。手作業で行う業務が多いほどリスクが高くなるため、リスクへの対応として統制を効かせなければならず、統制への対応事項が増えてしまいます。結果として、手作業による業務負荷は高く、IT統制対応への対応負荷も上がってしまいます。
そのため、できる限り手作業を減らし、システムで統制を取りながら処理を行うことが望ましいと言えます。システムを活用することでリスクを低減できるだけでなく、業務効率化にも寄与することができるからです。
特に上場企業での導入実績が多いパッケージシステムであれば、システムには内部統制へ準拠した機能が既に搭載されているため、システムを利用するだけで統制を効かせることができ、業務処理とIT統制の両観点から効率的な対応を取ることができます。
IT統制の観点で考えると、当然ながら人の手が入らないほうが誤入力や誤処理、不正な改ざん等の発生リスクを低減することができます。手作業で行う業務が多いほどリスクが高くなるため、リスクへの対応として統制を効かせなければならず、統制への対応事項が増えてしまいます。結果として、手作業による業務負荷は高く、IT統制対応への対応負荷も上がってしまいます。
そのため、できる限り手作業を減らし、システムで統制を取りながら処理を行うことが望ましいと言えます。システムを活用することでリスクを低減できるだけでなく、業務効率化にも寄与することができるからです。
特に上場企業での導入実績が多いパッケージシステムであれば、システムには内部統制へ準拠した機能が既に搭載されているため、システムを利用するだけで統制を効かせることができ、業務処理とIT統制の両観点から効率的な対応を取ることができます。
4-2.IT業務処理統制の評価・改善
IT業務処理統制の評価には、「サンプリングによる評価」「ウォークスルーによる評価」の2つの方法があります。
上記の評価を行うことで、十分な統制が効いているかどうかを確認することができます。
評価後は評価結果をもとに、対応が不十分なプロセスに関して改善の対応を進めます。
(1)サンプリングによる評価
一定期間におけるデータを複数件サンプリングし、統制の実施状況を確認する評価方法です。すべてのデータを検証することは現実的に困難であるため、無作為に抽出したデータが正しいものであることを検証することで評価を行います。評価対象となるデータの母集団件数に比例して、サンプリングで抽出する件数を増やしていくやり方が一般的です。(2)ウォークスルーによる評価
1つの取引を対象として、取引開始から処理を行い仕訳が計上されるまでの一連の流れを検証して評価する方法です。これは各業務プロセスにおける統制によって、リスクを低減する仕組みが整っているかどうかを確認する手法です。例えば、販売プロセスを対象にした場合、「見積→契約→受注処理→在庫確認→出荷→請求書作成→売上計上→入金」という一連の流れを確認することになります。上記の評価を行うことで、十分な統制が効いているかどうかを確認することができます。
評価後は評価結果をもとに、対応が不十分なプロセスに関して改善の対応を進めます。
5.まとめ
IT業務処理統制は、各業務プロセスと深く関わる統制です。そのため、統制環境構築にシステムを活用することが有効な一手です。システムによって手作業を減らし業務効率化を図り、同時にリスクを低減することができます。
ただしIPO準備段階でのシステム導入は、目の前の業務効率化だけを目的とした部分最適ではなく、会社全体でのグランドデザインを描き、統制と使いやすさのバランスを取ることが重要です。IPO準備段階はシステムを見直すことに適した時期でもあるため、この機にシステムの見直しと統制環境の整備を同時に進めてみてはいかがでしょうか。
【上場審査の実績あり】IT関連規程で注意すべきポイント5点など、エッグシステムの内部統制コラム
■上場企業・上場検討企業様向け エッグシステムのIT統制サポートとは?
ただしIPO準備段階でのシステム導入は、目の前の業務効率化だけを目的とした部分最適ではなく、会社全体でのグランドデザインを描き、統制と使いやすさのバランスを取ることが重要です。IPO準備段階はシステムを見直すことに適した時期でもあるため、この機にシステムの見直しと統制環境の整備を同時に進めてみてはいかがでしょうか。
【上場審査の実績あり】IT関連規程で注意すべきポイント5点など、エッグシステムの内部統制コラム
■上場企業・上場検討企業様向け エッグシステムのIT統制サポートとは?
よくあるご質問
- ITACとは何ですか?
- IT業務処理統制(ITAC)とは、ITシステムを用いた業務を適切に行うための仕組みのことです。内部統制で求められる財務報告の信頼性を担保するためには、正しい会計処理がなされていることが前提です。その元となるデータは販売管理や購買管理といったITシステムによって生成されているため、業務プロセスが正確に処理、記録されることを担保する仕組みとしてIT業務処理統制が必要です。
- ITACの対象範囲と目的は?
- 各業務であり、各業務の処理や記録を統制することが目的です。
- ITGCとITACの違いは?
- IT全般統制(ITGC)は、企業情報の信頼性を確保するために利用するシステムを、適切に運用管理する仕組みのことです(システムの開発、保守・運用などの管理)。一方、IT業務処理統制(ITAC)は、業務ごとに行われる処理や記録を統制することが目的です。対応範囲は各業務のため、IT全般統制と比べるとより細かい対応が必要です。
ITGCが問題なく構築・運用できていることがITACの前提です。
- IT統制とは何ですか?
- IT統制は「IT全社的統制」「IT全般統制(ITGC)」「IT業務処理統制(ITAC)」から構成されます。
関連コラム
執筆
株式会社エッグシステム
代表取締役
高橋 翼氏
代表取締役
高橋 翼氏
IT戦略・システム化計画策定から、システム開発・運用保守、マネジメント、ITガバナンスまで幅広い業務経験を経て2017年に株式会社エッグシステム創業。中小企業向けにITシステムによる売上拡大・業務効率化を実現する「コンサルティングエンジニアサービス」、IPOを目指すベンチャー企業向け「IT統制サポート」を行う。
コーポレートサイト
コーポレートサイト
月2回程度、IPO準備に役立つ情報を配信!
IPO Compassメルマガ登録はこちらから!
メルマガ登録
