IT統制とは？内部統制との関係や目的・役割を中小企業向けに解説

IT統制は、単にシステムのトラブルを防ぐだけでなく、企業の業務効率を高め、リスクを低減するための重要な管理手段です。

特に中小企業においては、適切なIT統制を導入することで、企業の成長を支え、顧客や取引先からの信頼を得ることができます。

本記事を参考に、自社に最適なIT統制の仕組みを構築し、健全な経営基盤を整えましょう。

IT統制とは

IT統制をより理解しやすくするため、以下の例え話を用いて表現してみます。

IT統制とは、企業がITシステムを利用する際にトラブルや不正が発生しないように管理する仕組みであり、内部統制を実現するための一手段です。例えるならば、IT統制は企業の「見えない守衛」です。企業が日々の業務を行う上で、業務が円滑に進むための様々な「門」をしっかりと守り、危険な人物や物が通らないように監視しています。

この守衛の仕事は、ただ不正を見張るだけではなく、効率よく仕事ができるように交通整理も行います。例えば、全ての業務が遅れなく進むように必要な情報やシステムが常に使える状態に保つことや、業務の進行に必要な手順が法的に問題がないかをチェックする役割も担っています。これにより、企業は業務を安全に、そして効率よく行うことができるのです。

内部統制の中でも特に「ITへの対応」は、この守衛の行動を決める「指令書」にあたります。指令書には、社会や市場でのITの動向を見極めながら、企業が自分に合ったITシステムを取り入れ、最も効果的に活用するための手順が書かれています。IT統制は、その指令に従って、トラブルや不正が発生しないよう適切に管理し、業務の安全性を維持しているのです。

内部統制とIT統制の関係

内部統制とは、企業が直面する「業務」「財務」「コンプライアンス」「資産」に関わるリスクを管理する仕組みです。内部統制は次の4つの目的を達成することを目指します。

• 業務の有効性及び効率性
• 財務報告の信頼性
• 事業活動に関わる法令等の遵守
• 資産の保全

この4つの目的が何らかのトラブルや不正によって妨げられないよう、会社全体で適切な管理と監視を行うのが内部統制です。

金融庁の「財務報告に係る内部統制の評価及び監査の基準」によると、「IT（情報技術）への対応」は、「IT環境への対応」「ITの利用」「ITの統制」の3つに細分化されます。そのため、冒頭で説明した通り、IT統制は内部統制を遂行するための一手段だと言えるわけです。

ちなみに「IT環境への適用」とは、社会や市場におけるITの動向を理解し、自社に合う形でITを取り入れていくことを指します。「ITの利用」は、ITをより良く活用し、社内における情報処理の有効性、効率性などを高めていくことです。

ITを取り入れ、活用を始めた先の段階として、トラブルや不正を予防するための適切な運用・管理、すなわち「ITの統制」があります。

IT統制の目的と役割

IT統制の目的は、ITシステムの導入や運用において以下の5つの目的を達成することです。

• 業務の有効性及び効率性
• 準拠性（コンプライアンス）
• 信頼性（財務における正確な記録・処理）
• 可用性（必要な時に情報を利用できる状態）
• 機密性（セキュリティ）

IT統制の目的は、企業がITシステムを導入し、運用する過程でさまざまなリスクを管理しながら、業務の有効性と効率性を確保することにあります。システムが円滑に機能することで、日常業務がスムーズに進み、無駄な時間やコストが発生しません。また、IT統制は、企業が法令や規制を遵守した運営を行えるようサポートし、コンプライアンスの確保にも寄与します。

さらに、財務情報の信頼性を担保するために、システムが正確な会計処理を行い、信頼できる財務データを提供することも重要です。必要な情報がいつでも利用できる状態、すなわちシステムの可用性もIT統制によって維持されます。最後に、不正アクセスやデータ漏洩のリスクを防ぎ、企業の重要な情報を守るため、IT統制は機密性の確保にも大きな役割を果たします。

IT統制は、単に業務の効率を高めるための取り組みではなく、業務効率が低下しないようにするための予防策であり、企業がシステムを安全かつ効果的に運用できるようサポートします。

中小企業におけるIT統制の必要性

IT統制は、企業の規模に関わらず、すべての企業にとって欠かせないものです。中小企業においても、IT統制が不十分であると、システムのトラブルが発生した際に業務全体へ大きな影響を与えかねません。

特に近年、リモートワークやクラウドシステムの導入が進む中で、IT統制をしっかりと実施することは、業務効率の維持やセキュリティ確保に直結します。IT統制を導入し、リスクを最小限に抑えることで、安定した業務運営が可能になり、結果として企業の競争力も向上します。

とはいえ、中小企業が本格的にIT統制を実施するのは簡単ではありません。高額なセキュリティツールの導入や高度な専門知識を持つ人材の確保が必要であり、これには大きなコストが伴います。

そのため、中小企業ではまず、できることからセキュリティ対策を始めることが重要です。特に、IT資産管理は比較的取り組みやすい分野です。IT資産管理とは、企業が保有するIT機器やソフトウェアの使用状況を把握し、適切に管理することを指します。これにより、セキュリティリスクの軽減や運用コストの最適化といったメリットが期待できます。

本格的にIT資産管理を行うには専用ツールの導入が必要で、数十万円のコストがかかることもあります。しかし、「漏洩チェッカー」のようなツールを使えば、基本的なIT資産管理の要件を満たしつつ、PC1台あたり月額100円から利用可能です。費用を抑えつつも、専門的なIT人材がいない中小企業にとって、こうしたツールは大きな助けとなるでしょう。

IT統制の3つの分類

IT統制には、統制する対象の規模によって「IT全社的統制」「IT全般統制」「IT業務処理統制」の3つに分類できます。以下ではそれぞれの統制について、定義や具体例を解説します。

IT全社的統制

IT全社的統制は、企業全体ないしグループ全体のITを健全に保つために、経営者が行うべきものです。主にITの利活用に関する戦略や計画、方針を定め、社全体に適用することを指します。

IT全社的統制としてやるべきことの具体例は、以下の通りです。

ITに関する基本方針の作成と明示

まずは経営者がITの導入や利用について「すべきこと・すべきでないこと」を明確にすることが肝心です。具体的には会社で使用する基本ソフトウェアやプラットフォームを選んだり、「セキュリティポリシー」や「IT機器利用規定」を策定したりといったことが挙げられます。

またITシステムの導入時期や予算、社員への教育・研修などに関しても決めるべきです。

ITに関するリスクの評価と対応

ITを活用することで起こりうるリスクを洗い出し、各リスクに対して対応策を決めることも大切です。

例えば、社の方針としてテレワークを増やせば、情報漏えいのリスクが高まると評価できます。そこでセキュリティパッチを更新したり、認証方式を強化したりといった対応が考えられます。

また万が一情報漏えいが起きてしまった場合の対応方法についても検討しておくのが良いでしょう。

統制手続の整備と周知

IT統制の方法は、業務状況や社会状況を見ながら変えていくべきものです。常に現在にとって最適な形に整備し、変更した部分については社内全体に周知する必要があります。

例えば、最初に決めたルールが、現場で適用しにくいことが判明すれば、ルールを改定して社員に通知するのが望ましいといえます。また新しいシステムを導入した場合は、利用規定やセキュリティ規定を新たに整備・周知するのが良いでしょう。

情報伝達の体制と仕組の整備

IT統制を円滑に行うには、策定した方針やルールに関する情報を、社内で共有できる体制・仕組みを整えておくべきです。

社内メールやポータルサイト、チャットツール、クラウドストレージなど、方法はいろいろあります。利便性やセキュリティ対策などを踏まえ、自社に合った方法を採用しましょう。

全社的な実施状況の確認（モニタリング）

経営者は、ITシステムの稼働状況や各部での機密情報を取り扱いなどをモニタリングし、実施している計画や統制の有効性を確かめるべきです。

モニタリングには、IT（監視ツール）がよく用いられます。監視ツールを使うことで監視にかかる労力を減らせるほか、不審な挙動が見られた場合には警告も発せられるので便利です。

IT全般統制

IT全般統制とは、後述のIT業務処理統制を有効にするための環境整備にかかる統制です。主に業務が遂行される前提となるシステムや契約などに関する統制を指します。

具体例としては、以下4つの取り組みが挙げられます。

システムの開発・保守に係る管理

システムの開発・保守に係る管理とは、システムの開発・保守に関する手続きのルールを策定し、守ることです。具体的には、ソフトウェアの調達やITインフラの構築、変更、テストなどについて、規定を設けます。

例えば、システムを自社開発する場合、テスト工程について綿密に規定しておかなければ、十分なテストが行われず、不完全なシステムができてしまうかもしれません。不完全なシステムは、誤った処理や情報漏えいにつながりかねないので、事前にルールを作ることで統制する必要があります。

システムの運用・管理

システムの運用・管理とは、システムを健全に稼働させるためのルールや仕組みを作ることです。具体的には、ハードウェアの運用管理や、ソフトウェアとITインフラの構成管理、データ管理などについて規定します。

そのほか、障害管理として、データ損失やサーバーダウンなど、有事の際の対応について検討しておくことも大切です。

内外からのアクセス管理等のシステムの安全性の確保

情報漏えいや不正アクセスといったトラブルを防止するためには、社内外からのアクセスを統制し、安全性を高めることが重要です。OSやアプリケーションから、ネットワーク、サーバにいたるまで、社の情報資産に対してはすべて適切なアクセス制限を設ける必要があります。

例えば、アカウントの発行や変更、権限の設定、特権IDの管理などについて、明確なルールを作るのがおすすめです。

外部委託に関する契約の管理

システムの開発や運用・保守などを外部委託する場合、そこから情報漏えいをはじめとするトラブルが発生するリスクがあります。

そのため、導入実績や資料も参考にしながら、一定以上のサービスレベルを有する外部委託先を選ぶことが大切です。また契約書でセキュリティ対策の要件を規定したり、委託先への監査の実施を規定したりといった方法も有効とされています。

関連記事：公務・自治体の情報漏洩事件まとめ | 漏洩チェッカー

IT業務処理統制

IT業務処理統制とは、それぞれの業務を正確に処理、記録するための統制です。以下のように、入力や修正、データ管理、アクセス管理に関する取り組みがあります。

入力情報の完全性、正確性、正当性等を確保する統制

とくに財務報告の信頼性を高めるためには、入力情報に誤りがないことを確保することが大切です。統制の方法としては、自動計算のシステムを導入して手入力を減らしたり、手入力にはダブルチェックを実行したりといったことが挙げられます。

また入力情報の正当性については、正規の承認手続きを経て入力が実施されるよう、社内のルールや体制づくりを強化する必要があります。

例外処理（エラー）の修正と再処理

ITシステム、とりわけハードウェアやOSなどが引き起こす例外処理（エラー）については、修正・再処理の方法を確立しておくべきです。エラーが解決されないとシステム障害となり、業務に少なからず悪影響が及びます。

情報システム部門で対処法を共有・統一しておくほか、自社で対応が難しい企業についてはホットラインを確保しておくのが良いでしょう。

マスタ・データの維持管理

マスタ・データとは、業務システムを駆動させるために必要な基準情報のことです。例えば、顧客管理システムにおける顧客データや生産管理システムにおける品目構成、勤怠管理における社員情報などがあります。

業務システムを効果的に活用するには、マスタ・データの適切な運用・更新が必須です。そのため、社内でデータの表記を統一したり、不要なデータの棚卸しを実施したりといった統制をするのが望ましいといえます。

システムの利用に関する認証、操作範囲の限定などアクセスの管理

上述の通り、情報漏えいや不正アクセスを防ぐには、適切なアクセス制限が必要です。

具体的には、ワンタイムパスワードや顔認証などを組み合わせた二要素認証を取り入れる、部署や役職ごとに機能制限を設けるといった方法が挙げられます。

まとめ

IT統制は、中小企業でも不可欠です。ITシステムのトラブルは業務全体に大きな影響を与える可能性があり、特にリモートワークやクラウド利用が増える今、IT統制によるリスク管理はますます重要です。

しかし、高額なセキュリティツールの導入は難しいと感じる企業も多いでしょう。そこで、「漏洩チェッカー」のような手軽に導入できるツールを活用することがおすすめです。月額100円からの利用が可能で、基本的なIT資産管理を実現できます。

この機会に、費用対効果の高いIT統制を導入し、業務の安定とセキュリティ強化を進めましょう。

▼関連記事
システム監査とは？目的や流れ、義務、範囲などを網羅的に解説
内部統制の目的と不可欠な3点セットを解説
IPO準備 - 内部監査の審査基準を解説