ITGCは"財務報告の信頼性"を支える土台
J-SOX(内部統制報告制度)では、IT統制をIT全般統制(ITGC)とIT業務処理統制(ITAC)の2層で整備します。ITGCは基盤として全システムに横断的に適用される統制で、これが機能しないとITACの有効性も認められません。
本記事では、上場準備企業が整備すべきITGCの4領域を具体例つきで解説します。
ITGCの4領域
| 領域 | 目的 | 代表的な統制 |
|---|---|---|
| アクセス管理 | データ不正アクセス防止、職務分掌 | ID申請承認、定期棚卸し、特権管理 |
| プログラム変更管理 | 不正改変の防止、品質確保 | 変更申請、テスト、承認、本番反映記録 |
| システム運用管理 | 障害・データ消失の防止 | ジョブ管理、バックアップ、障害対応 |
| 開発管理 | 開発段階でのリスク制御 | 要件定義、設計レビュー、本番移行 |
領域①:アクセス管理
- ID付与プロセス:新規入社・異動・退職時の申請/承認/削除フロー
- ロール設計:業務ロールとシステムロールのマッピング
- 定期棚卸し:四半期ごとに全ID/権限を棚卸し
- 特権ID管理:管理者アカウントの申請/利用ログ/自動ローテーション
- 多要素認証:重要システムはMFA必須
- 職務分掌(SoD):開発者と本番運用者、申請者と承認者の分離
💡 よくある指摘
「退職者のADアカウントは削除されているが、会計システムのアカウントが残っている」という個別システムの対応漏れが頻発します。全SaaS/オンプレを横断した退職時チェックリストが必須です。
領域②:プログラム変更管理
- 変更申請:チケット(Jira/ServiceNow等)で起票、理由・影響範囲・ロールバック計画を記述
- 承認:事業責任者+情シス責任者の二者承認
- 開発・テスト:開発環境/ステージング環境での検証
- 本番反映:計画時間外、作業者と確認者の分離
- 記録:申請〜本番反映までのエビデンスを一元保管
- 緊急変更:事後承認フロー、定期的な棚卸し
領域③:システム運用管理
- ジョブ管理:バッチ処理の実行監視、失敗時のリラン手順
- バックアップ:取得、検証、復元テスト
- 障害管理:検知〜復旧〜再発防止のインシデントチケット
- キャパシティ管理:ストレージ・帯域の使用率監視
- パッチ管理:脆弱性対応の申請・承認・適用フロー
領域④:開発管理
- プロジェクトライフサイクル:要件定義/設計/開発/テスト/移行の標準化
- 承認ゲート:フェーズごとの経営・業務承認
- 品質管理:コードレビュー、テスト基準、セキュリティレビュー
- データ移行:移行計画、検証、承認
- 本番リリース判定:Go/No-Go判断基準の文書化
統制の文書化:3点セット
監査対応では以下の3点セットを整備します。
- リスクコントロールマトリクス(RCM):リスク×統制のマッピング
- 業務記述書:プロセスの流れと担当者
- フローチャート:入力〜出力の図解
統制テスト(運用評価)
設計した統制が実際に機能しているかを年次で評価します。
- サンプリング:四半期ごとに一定件数を抽出してエビデンス確認
- ウォークスルー:申請〜承認〜完了までを1件通して追跡
- 自動化テスト:可能な統制はスクリプトで全件チェック
- 例外対応:検出された例外の是正と文書化
ITGC実装に役立つツール
| 領域 | ツール例 |
|---|---|
| アクセス管理/IDaaS | Microsoft Entra ID、Okta、OneLogin |
| 特権ID管理(PAM) | CyberArk、BeyondTrust、Delinea |
| 変更管理/チケット | Jira Service Management、ServiceNow |
| ログ/SIEM | Microsoft Sentinel、Splunk |
| ID棚卸し/監査 | SailPoint、Saviynt、CoreView |
BTNコンサルティングの支援
BTNでは、ITGCの設計・実装・運用テスト・監査対応をワンストップで支援します。「Project365」でITGC整備プロジェクト、「情シス365」で日常運用の継続支援を提供可能です。
上場準備・グロース企業向けの包括支援はエンタープライズ向けサービスをご覧ください。
→ 情シス365 Enterprise(上場準備・エンタープライズ向け情シス支援)
まとめ
ITGCは"やってる風"では通りません。申請承認の証跡、定期棚卸しの記録、職務分掌の実装を具体エビデンスで示せることが鍵です。早期に仕組み化することが、監査対応の負荷を劇的に下げます。