内部統制とは
内部統制は、組織の業務が適正かつ効率的に遂行されるために経営者が整備・運用する仕組みの総称です。金融庁の内部統制の基本的枠組みでは、内部統制の目的を「業務の有効性と効率性」「財務報告の信頼性」「法令遵守」「資産の保全」の4つに定義しています。
IT統制との関係
内部統制は組織全体をカバーする上位概念で、IT統制はその一部として位置づけられます。
- 内部統制(上位概念):業務全体の適正性を確保する仕組み。財務統制、業務統制、コンプライアンス統制を含む
- IT統制(下位概念):ITシステムに関する内部統制。ITが正確・安全に運用されることを保証
現代の企業では業務のほとんどがITシステム上で処理されるため、IT統制なしに内部統制は機能しないと言えます。
比較表
| 項目 | 内部統制 | IT統制 |
|---|---|---|
| 範囲 | 組織全体の業務プロセス | ITシステムに関する統制 |
| 責任者 | 経営者(取締役会) | IT部門長(CIO/情シス責任者) |
| 対象 | 人、プロセス、IT、規程 | システム、データ、アクセス権、変更管理 |
| フレームワーク | COSO(内部統制の統合的枠組み) | COBIT、ISO/IEC 27001 |
| 法的根拠 | 会社法、金融商品取引法(J-SOX) | J-SOXのIT統制部分 |
| 監査 | 内部監査+外部監査(監査法人) | IT監査(IT統制の有効性評価) |
中小企業での整備ポイント
非上場の中小企業にはJ-SOXの義務はありませんが、以下の理由でIT統制の整備は重要です。
- セキュリティ事故の防止:アクセス管理の不備は情報漏洩の直接原因になる
- M&AやIPOへの備え:IT統制が整備されていると、DDでの評価が高くなる
- 取引先からの要求:大企業との取引ではセキュリティ対策の証明を求められるケースが増加
最低限整備すべきIT統制は「アクセス管理(入退社時のアカウント管理)」「バックアップ」「パスワードポリシー」の3つです。
まとめ
IT統制は内部統制の一部であり、ITシステムの正確性・安全性を保証する仕組みです。中小企業はまずアクセス管理、バックアップ、パスワードポリシーの3つから整備しましょう。