IT統制とは
IT統制とは、ITシステムが正確・安全・効率的に運用されることを保証するためのルール・手続き・仕組みです。内部統制の一部として位置づけられ、財務報告の信頼性確保やセキュリティリスクの低減を目的としています。
3つのカテゴリ
| カテゴリ | 対象 | 内容 |
|---|---|---|
| IT全般統制(ITGC) | ITインフラ全体 | アクセス管理、変更管理、運用管理、バックアップ。すべてのITシステムに共通する統制 |
| IT業務処理統制(ITAC) | 個別の業務アプリケーション | 入力チェック、計算の正確性、出力の完全性。会計システム等の個別統制 |
| IT全社統制 | 組織全体 | ITガバナンス体制、情報セキュリティポリシー、IT教育・研修 |
具体例
IT全般統制(ITGC)の例
- アクセス管理:ユーザーIDの発行・削除手順、パスワードポリシー、特権アカウントの管理
- 変更管理:システム変更の承認プロセス、テスト手順、リリース管理
- 運用管理:バッチ処理の監視、障害対応手順、バックアップ・リストアの確認
- 開発管理:開発環境と本番環境の分離、コードレビュー、テスト計画
IT業務処理統制(ITAC)の例
- 入力統制:データ入力時のバリデーション(金額の範囲チェック、必須項目チェック)
- 処理統制:計算結果の正確性検証、重複処理の防止
- 出力統制:帳票の出力結果の整合性チェック、承認済みデータのみ出力
J-SOXとの関係
上場企業では金融商品取引法(J-SOX)により財務報告に係る内部統制の評価・報告が義務付けられています。IT統制はJ-SOX対応の重要な構成要素であり、特にITGCの整備は監査法人から厳しく確認されます。非上場の中小企業にはJ-SOXの義務はありませんが、将来のIPOやM&Aに備えてIT統制を整備しておくと有利です。
まとめ
IT統制はITGC(全般統制)、ITAC(業務処理統制)、IT全社統制の3層で構成されます。中小企業はまずアクセス管理と変更管理のITGCから整備しましょう。