こんにちは、LIGのtetsuこと手塚です。情報システム室の室長をしています。
今回は、内部統制の一つ、「IT統制」の基本について書いていきたいと思います。
IT統制とは
IT統制とは、内部統制を構成する次の6つ統制のうち「ITへの対応」を達成するためを意味し、各事業の業務などがスムーズに行われるために、社内の情報システムに関するすべての仕組みを整えて運用し、それが機能しているかを確認できる状況にすることを意味します。
- 内部統制の構成内容
-
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
IT統制を行うことで、現状の業務フローが見える化され、見えないリスクを洗い出すことができ、また責任の所在や業務知識の体系化を図ることができます。
IT統制の実施基準
IT統制には3つの実施基準があります。
基準1:IT全社的統制
IT全社的統制とは、社内に限らず関連する子会社を含めた企業全体のITシステムが正しく機能させることを目的とし、その目的を達成するために、どのような方針と計画で仕組みづくりを行うかを定義します。
利用するITシステム自体がどのような目的で導入され、どのように運用を行うのか方針を決めます。またその方針に対してリスクの評価をし、リスクへの対策などをあらかじめ整備します。
また、これまでの結果を社員に対して、教育や周知などを行い、スムーズな業務運営ができるように啓蒙活動も必要とされます。
基準2:IT全般統制
基準1と似たような文言ですが、この統制はITシステムが決められた運用に支障が出ないように、ITシステムに対する整備や管理に関する統制です。
ITシステムは一つのシステムをとっても高コストなものが多く、導入や維持管理に多大コストが発生します。発生するコストが無駄にならないよう、またITシステムが期待するパフォーマンスを最大限発揮できるように管理が必要となります。
また、ITシステムには様々な機密情報が存在します。この機密情報をいかに安全を維持し、セキュリティを強化するかもこの統制で定めます。
基準3:IT業務処理統制
IT業務処理統制とは、あらゆる実業務が行われる中で、正しく業務の処理がされ、業務が管理され統制されているかを意味します。
ITシステムを使うことですべてが解決されることではなく、システムも利用していく中でアップデートされ変わっていきます。
アップデートされたにもかかわらず、アップデートをしていない場合に実業務で何らかの問題が発生するリスクがあります。こういったリスクを事前に防ぎ、発生しないための管理体制を構築する必要があります。
また、ITシステムを使っていない業務に対しても対象で、いかに人的ミスも防げるかも統制の対象になります。
最後に
今回はIT統制の基本となる3つの点について、簡単に説明しました。それぞれの企業内の業務状況によって、対応する範囲や量は様々ではありますが、すべての業務に対してしっかり把握と管理を行い、そして維持していく体制を作り上げるかが重要です。その前準備も細かく多岐にわたります。
IT統制には様々な人が関わるため、規定や資料など、基準となるものをいかに用意できるかで統制を行うスピードが大きく変わりますし、事業を円滑に進められるようになると思います。
みなさんも社内のIT統制に対して未着手であれば、IT統制を行うことを検討してみてはいかがでしょうか。
