近年、IT技術の進化によって、内部統制にITを利用して効率的に行う企業が増えてきています。
内部統制の目的としては、日々の業務の効率化とミスや不正リスクの軽減、信頼性の高い財務報告、社内ルールの遵守などが考えられます。つまり、内部統制とは、企業内の問題点やリスクの調査を行い検討し、統制を行うことです。
内部統制には、さまざまな書類の運用管理や社内のガイドラインの作成、セキュリティシステムなどの管理があります。これら企業活動をおこなうことで、正常に機能し、改善すべき点がないかといったモニタリングを行うことこそが、内部統制なのです。
内部統制の位置づけの1つにIT全般統制があります。IT全般統制とは、ITシステムを安全かつ、効率的に運用するための管理業務を示しています。ITシステム運用やその管理などを通し、すべての業務の信頼性の確保や効率化を目的としています。 つまり、内部統制でのIT全般統制は、企業のITシステム運用で発生するミスや不正を未然に防ぐ役割を果たしています。
一般的にIT統制は3つの種類に大別することが可能です。
自社の全体を範囲としてITシステムへの対応や運用ルールを策定して統一化するIT全社的統制から、実際にITシステムを動作するための環境を構築してバックアップ体制を整えるIT全般統制(ITGC)、さらにIT業務の適正化を行うIT業務処理統制(ITAC)まで、それぞれの目的に合わせて段階的に考えなければなりません。
IT全社的統制は、企業におけるITシステムや情報技術に関連したルールの策定やコンプライアンスの取り決め、全社で共有するITシステム関連のオペレーションの統一化、またリスクマネジメントの強化など経営レベルでのITコントロールを考える段階となります。
IT全社的統制はIT統制における憲法や法律づくりのような段階であり、これらを最初に明確化しておかなければ以降の段階で矛盾や齟齬が発生し、結果的に統制が保たれないといったリスクを増大させるために注意しなければなりません。
IT全般統制(ITGC)とは、IT全社的統制にもとづいて、自社で実際にITシステムを運用していくための基盤を構築し、基本的な業務処理の流れやITシステムが有効に機能していくための環境・保証を整備する取り組みです。
例えば自社の環境に合わせたITシステムの開発や保守管理のマニュアル化、マネジメント業務の運用ルール化やシステムの改変・改訂に伴う手続きなど細かな部分を、実用性や実効性を踏まえて検討します。またITシステムのアウトソーシングを行う場合は契約管理の体制も整えます。
IT業務処理統制(ITAC)は各業務においてITシステムが正確に運用され、また情報や効果が適正に記録・保管されるよう取り組むことです。
入力情報の完全性や正確性を担保するための取り決めや機能の活用、例外処理に対する修正・再処理といった手順の構築、また各種データの保全や維持管理などを総合的に進めなければなりません。
また工程や情報レベルに合わせたユーザ権限の設定やアクセス管理の範囲決定などを進めることも大切です。
システム開発、保守に関する管理は、経営者が示す方針に沿ったITシステムにするために運用や管理を行っています。具体的な内容としては、システムの開発や変更に伴う承認や、否認・開発に関する事前テストの実施の2つを挙げることができます。
手間やコストが多くかかるシステム開発では、実現すべき内容を明確化し、把握する必要があります。システム開発、保守に関する管理が不十分な場合、業務やサービストラブルが発生する可能性があるためです。
システム運用・管理も同様に、経営者が示す方針に沿ったITシステムにするための運用や管理を行っています。具体的には、変更履歴のログの収集や管理、保存データの定期的なバックアップなどを挙げることができます。
ITシステムの不正や情報漏洩を防ぐためにも、システム運用・管理担当を分けて設置することが理想的です。もしも、システム運用・管理が不十分な場合、業務やサービスに関するトラブルが発生する可能性があります。
【企業の情シス向け】
自社に合ったシステム運用支援サービス
の選び方を見る
社内、社外からのアクセス管理などシステム安全性の確保は、企業情報に関するセキュリティの強化やリスクの対策を示します。具体的なリスクとしては、データ改ざんや不正アクセスなどが代表的です。万が一問題が起きた場合、企業情報が不正に使われるなど、企業にとって大きな不利益になってしまいます。
ITシステムに関する改修や外部への委託をする場合、依頼通りの運営や管理ができているかを評価することが重要です。外部委託は自社業務を分散し、負荷の軽減をする方法ですが、任せきりにしてしまうと、想定していたことと違った内容になってしまう可能性があります。
このことで、業務やサービスに関するトラブルが発生することがあります。そうならないためにも、委託先方の報告書の受け取りや、外部委託先への監査など、外部委託に関する契約内容の管理を十分に行っておく必要があります。
業務委託でスムーズな運用が可能に
システム運用支援サービスを見る
IT統制の監査は、システム運用や管理が適切に行われているか判断するためのものです。組織全体のリスク管理が強化され企業価値の向上に寄与することが期待できます。監査法人によるチェックで、注目されやすいポイントをまとめました。
パスワードの設定・管理はセキュリティ対策の基本であり、監査として重要なポイントです。
パスワードの強度が適切か、一定期間にパスワードを変更しているか、複数ユーザーでパスワードを共有していないかなどがチェックされます。設定・管理に不備があると、セキュリティとして重大な問題を引き起こす可能性がありますので、しっかりとした体制を確立することが必要です。
ITシステムを運用する上で、データの保管体制やデータの完全性・機密性を考えることは必要です。
定期的にバックアップを取りデータが消失しないように管理されているか、データを暗号化し情報が守られているかなどがチェックされます。データが適切な状態で管理されているか確認し、監査に臨みましょう。
パスワードを設定し適切なデータ管理体制を整備するうえで、実際にどのような手順やプロセスでITシステムを運用したりデータを活用していくのか、一連のフローをビジネスプロセスとして標準化・規定しておくことも欠かせません。第三者によって不正な処理や誤った情報の入力を防ぎ、システム運用としての信頼性を高めることができます。
通常業務だけでなく、トラブル発生時の対応フローも用意しておくと安心です。
社内ヘルプデスク代行を任せたいなら
クラウド運用管理を任せたいなら
システム監視・運用を任せたいなら
