#コラム

IT全般統制(ITGC)とは何か? 概要や重要性を解説

更新日:
IT全般統制(ITGC)とは何か? 概要や重要性を解説

目次

  1. IT全般統制(ITGC)とは
  2. IT全般統制(ITGC)の主な要素
  3. IT全般統制(ITGC)の目的と重要性
  4. IT全般統制(ITGC)を行う方法
  5. IT全般統制(ITGC)を円滑に導入するポイント
  6. IT全般統制(ITGC)の導入における課題
  7. IT全般統制(ITGC)の運用・強化におすすめのツールを紹介
  8. まとめ
情報システム部門は、
いかにして本業であるIT戦略立案の
「時間」を作り出すべきか? \ホワイトペーパー公開中/

  • 現在多くの企業がデータ管理や意思決定、顧客対応などさまざまなシーンにおいてITシステムを活用しています。ITシステムはビジネスを効率的に展開していく上で不可欠であるものの、管理を怠れば大きな問題が起こるリスクをはらんでいることを忘れてはいけません。

    そうした中で、IT部門における統制を図るIT全般統制に注目が集まっています。IT全般統制とは、企業情報の信頼性確保を目的に利用するITシステムを運用管理する仕組みです。

    本記事を読むことで主に以下について分かります。

    ● IT全般統制(ITGC)とは何か
    ● IT全般統制(ITGC)の目的と重要性
    ● IT全般統制(ITGC)を行う方法

  • IT全般統制(ITGC)とは

    IT全般統制とは、情報技術の一般的な統制手法です。企業情報の信頼性確保のために利用するITシステムを円滑に運用管理する仕組みを指します。ITシステムの運用を適切に行わなければ統制は取れないため注意が必要です。

    企業内の業務が適切、かつ安全に行われる仕組みを内部統制といい、IT全般統制はこの内部統制に含まれます。

    またIT全般統制はInformation Technology General Controlsと英語表記され、ITGCと略されることが多いです。ITGCの取り組みは企業のガバナンスとリスク管理の一部において重要な位置を占めています。企業の運営だけでなく、規制遵守、監査対応にも大きな影響を与える重要なものです。

  • IT全般統制(ITGC)の主な要素

    IT全般統制(ITGC)の主な要素

    IT全般統制では、複数の要素が統制され、システム運用が適切に実施されているのかを評価します。統制の効果を最大限高めるためにも、IT全般統制を構成する要素を把握しておくのは大切です。

    IT全般統制は主に以下の4つから構成されています。

    ● システムの開発・保守の管理
    ● システムの運用と管理
    ● システムの安全性の確保
    ● 外部委託の契約管理

    それぞれ確認していきましょう。

    要素1:システムの開発・保守の管理

    システムの開発・保守の管理では、運用ルールを作成しその内容に則って管理することが重要です。具体的には、システムの開発や変更に伴う承認ルールおよび手続きの制定、テストの実施、移行計画・移行結果の作成と承認などが挙げられます。

    開発や保守において運用ルールがない場合、担当者の判断でテストが省略され、本番稼働後に誤った数字で財務情報が生成される事態に陥るリスクもあります。こうした事態を防ぐために、開発から保守についての運用ルールが設けられているのです。

    例えば、自社開発であれば要件を定義し、設計・開発します。その後テストを行い各フェーズで必要なドキュメントを残し、レビューおよび承認を実施することで統制します。またパッケージソフトやクラウドシステムを導入する際も自社開発のシステムと同じく運用ルールが必要であるものの、自社でシステムを開発することはありません。加えて、保守をベンダーに任せるのが一般的です。このため他社製品やサービスを活用すれば、設計や開発、機能を保証するテストが必要ない、また承認ルールや手続きを自社開発よりも簡素化できるといったメリットがあります。

    またシステム開発では手間やコストが発生するため、実現したい内容を明確にし、きちんと把握した上で正確に進めていかなければなりません。システム開発と保守管理が不十分だと、以下のようなトラブルが生じるリスクがあります。

    ● 開発したシステムのテストが十分でなかったため、会計と在庫の数値に相違が見られ、財務情報を取得できない ● 保守契約を締結せずに財務システムを刷新したことが原因で、会計基準が変更できない。財務情報の正確性が疑われる事態に陥った

    要素2:システムの運用と管理

    システムの運用と管理とは、システムを安定して稼働させる上で必要な対応です。なお管理項目には主に以下のものがあります。

    ● 障害管理
    ● データ管理
    ● ハードウェア管理
    ● ソフトウェア管理
    ● ネットワーク管理
    ● 設備管理
    ● 構成管理

    例えばハードウェア管理ではハードウェアの入手から廃棄まで一連の手順を定めます。
    また通常時の運用だけではなく、サーバーがダウンした場合など有事を想定した対応手順などの運用ルールや手順の整備も管理項目において忘れてはなりません。

    システムの運用・管理を怠ると、以下のようなトラブルが生じることがあります。

    ● サーバーダウンが起きたときの対策を講じていなかったため、財務上の数値の確定が決算日に間に合わなかった
    ● バックアップを取らずにプログラムを変更したため、売上や利益に関するデータの誤削除に対応できなかった。正確な経理情報の取得ができなくなった

    要素3:システムの安全性の確保

    システムの安全性の確保とは社内の情報資産におけるあらゆるアクセス経路で、安全にアクセスするために防御策を講じることです。OS、アプリケーション、データベースを守るためにも不可欠です。

    近年では不正アクセスの被害が企業規模に関係なく多発しているため、多くの企業がシステムの安全性確保に注力しています。システムの安全性が脅かされると、自社だけでなく、取引先や顧客にも被害が及ぶケースは少なくありません。こうなれば自社の信用は下がるでしょう。

    システムの安全性の確保において整備すべき運用ルールは主に以下のものになります。

    ● 権限の設定・変更
    ● 権限の棚卸
    ● アカウントの新規発行
    ● アカウントの棚卸
    ● アカウントの変更・削除
    ● 特権IDの貸出・付与

    システムの安全性の確保が不十分だった場合、以下のようなトラブルが生じることもあります。

    ● 社内システムのデータを改ざんした内部関係者を特定できない
    ● 企業の機密情報のデータベースに不正アクセスされ、情報が外部に流出した

    要素4:外部委託の契約管理

    外部委託の契約管理とは、システムの開発や運用に関する業務を外部に委託する際、依頼内容に即して業務が遂行され、機密情報などの管理が適切に行われていることを担保するための管理体制です。

    IT人材が不足し、各企業におけるIT担当者の負担が重い傾向にある今、外部委託は属人化を避けるのに有効な手段です。ただしシステムの開発や運用などを外部に依頼すると、個人情報の流出など不測の事態が発生するケースもあります。このため契約時にはセキュリティーに関する内容、評価の実施、監査の実施について明確にしておきます。業務の外注先には契約内容を必ず守ってもらう必要があるためです。

    外部委託の契約管理が不十分な場合、以下のようなトラブルに発展する恐れがあります。

    ● 外部委託先との契約書に監査実施の旨を記載していなかったため、監査を実施できなかった
    ● 外部委託先でシステムのダウンが起きたため、支払いに関する情報取得に遅延が発生した

  • IT全般統制(ITGC)の目的と重要性

    IT全般統制(ITGC)の目的と重要性

    IT全般統制の目的と重要性を把握しておくことで、IT全般統制を抜け目なく行えます。ここでは、IT全般統制の目的と重要性を確認していきましょう。

    IT全般統制(ITGC)の目的

    IT全般統制の主な目的は、情報システムの信頼性の確保およびその結果として企業全体のリスクを管理することです。具体的には以下の3つの項目が挙げられます。

    ● アクセス制御
    IT全般統制はアクセス制御を適切に行い、情報の誤用や不正使用の発生を防ぐことを目標とするものです。企業にとって重要なデータや機密性が高いデータを一部の認められた人のみが利用できる環境を確保し、情報セキュリティーを高めます。

    ● 統制の確立
    IT全般統制はシステム開発や変更管理などといったIT環境の各側面における統制を確立します。システムの開発や変更管理が体系化されることで、プロジェクトの成功率は高まるでしょう。また投資対効果の改善も期待でき、自社全体のパフォーマンスを底上げできるでしょう。

    ● レビューと改善
    IT全般統制を行う際は、定期的にレビューとアップデートを実施します。統制の効果性を評価し、必要に応じて改善すれば、企業は変化するビジネス環境や規制要件に対応できるようになります。

    IT全般統制(ITGC)の重要性

    IT全般統制が重要視されている理由は不正行為、データ侵害、システム障害などを回避するためです。ITシステムを活用する限りは切り離せないこれらのリスクですが、IT全般統制によってある程度は予防できるでしょう。

    さらにIT全般統制には、企業が高い競争力を保ち、変化していく市場の要件に対応する能力を強化する役割もあります。

  • IT全般統制(ITGC)を行う方法

    IT全般統制(ITGC)を行う方法

    IT全般統制には、一般的に定められた方法があります。IT全般統制を行うには、以下を押さえておくことが大切です。

    IT全般統制を行う方法として、以下の3つが挙げられます。

    ● 役割と責任を明確にする
    ● 適切なプロセスと手順を決める
    ● 定期的に評価しアップデートする

    それぞれ確認していきましょう。

    役割と責任を明確にする

    IT全般統制を行うに当たって、役割と責任を組織内で明確にしておく必要があります。それぞれの責任範囲を明確にし、各自が役割を理解することで、従業員はIT全般統制を実施することが可能です。

    またIT全般統制の目的と重要性を共有し、関係者全員が理解しておくことも成功の秘訣です。

    適切なプロセスと手順を決める

    続いてIT全般統制のプロセスと手順を確立します。プロセスの確立はIT全般統制におけるアクションプランを具体的に形成し、全員がスムーズに行動するために必要なフェーズです。

    IT全般統制の実装面では、運用する管理フォーマットなどの作成や運用ルールの取り決めを行います。管理フォーマットの作成については、監査対応で使うことも念頭に置きながら、承認者などの項目を設けて記録を取っていきます。

    定期的に評価しアップデートする

    IT全般統制は一度実施したら終わりではありません。定期的に、計画に従って統制を行えているのかを評価してアップデートする必要があります。実際に運用することで見えてくる課題もあります。またITシステムは日々進歩しているため、IT全般統制もその変化に適応しなくてはなりません。

    レビューを定期的に実施し、必要性や適切性を評価して、改善するべき箇所があればアップデートを行いましょう。

  • IT全般統制(ITGC)を円滑に導入するポイント

    IT全般統制を円滑に導入するに当たり、構築時と運用(評価)時に押さえておきたいポイントがあります。それは以下の2つです。

    ● 構築時:運用ルールは業務効率と統制のバランスが取れた内容にする
    ● 運用(評価)時:運用ルールを守り定期的に評価する

    それぞれ確認していきましょう。

    構築時:運用ルールは業務効率と統制のバランスが取れた内容にする

    IT全般統制において、業務効率と統制は切り離せない問題です。例えばシステムの変更を行うときは複数名で内容を確認し、いくつかの承認プロセスを経てから変更作業を行うというルールを設けたとします。システム変更における不具合が発生するリスクは大幅に抑えられ、高いレベルで統制が取れているといえるでしょう。一方、従業員の業務負担は重く、効率面では課題が残っています。

    業務を効率的に進められない場合、多忙な時期や業務に慣れてきた頃に制定した運用ルールが守られなくなることは多いです。運用ルールをしっかりと設けて、リスク管理を行っていたとしても、ルールが守られなければ意味がありません。

    運用(評価)時:運用ルールを守り定期的に評価する

    IT全般統制において、業務に携わる人たちが運用ルールの重要性を理解し、ルールに従って運用することは不可欠です。

    とはいえルールに従って実際に運用した結果、過度な手間を要したり、効率が著しく悪いことが分かったりする場合があります。こうしたケースでは、統制ができていないことも考えられるため一度評価し、改善する必要があるでしょう。

    例えば、アカウント管理では効率性を優先してアカウント権限を頻繁に変更していると、監査法人から指摘を受ける可能性があります。適切な運用の妨げになる上、担当者が不正に手を染める可能性も高まるので注意が必要です。

    監査では申請履歴の有無や申請履歴とアカウント管理台帳の整合性を確認します。ワークフローシステムを活用して申請履歴を残し、アカウントや権限を台帳で管理することが求められます。

  • IT全般統制(ITGC)の導入における課題

    IT全般統制の導入では課題があることも知っておくべきでしょう。構築から改善まで対応していくためには、適切な担当者が必要になります。しかし、IT人材が不足している今、ITシステムに明るい担当者を配置することは容易ではありません。IT全般統制の導入において、IT人材の確保が課題の一つです。なお、IT全般統制をスムーズに行うには以下の項目を満たすような人材がベストです。

    ● 開発から導入、運用までITシステム全般に精通している
    ● 内部統制に詳しい
    ● 販売管理や会計などのバックオフィス業務の知識がある
    ● システム監査の経験がある

    IT人材の不足が問題となっている現在において、これらの条件を満たした人材を確保できる企業は限られます。また属人化を避けるためには、条件を満たす人材が複数必要です。従って、人間の力だけでIT全般統制を行うのは限界があるといえます。

  • IT全般統制(ITGC)の運用・強化におすすめのツールを紹介

    IT全般統制を運用・強化するにはツールの活用がおすすめです。ここでは、IT全般統制に活用できるツールを紹介します。

    ● クラウドサービス
    近年、財務報告に関連するシステムはクラウド環境で提供されることが増えています。クラウド型のシステムは情報連携がしやすいため内部統制の構築を行いやすく、IPO(新規公開株)準備ではクラウドERPシステムの導入が当たり前のように求められるためです。

    ただしクラウドサービスは不正アクセスのリスクが高いため、アクセスコントロールの対策が不可欠です。とはいえクラウドはサービスを提供している企業が物理セキュリティー体制やメンテナンス体制をきちんと構築しているケースが大半であるため、自社でのアクセスコントロールの負担は少ない傾向にあります。

    ● バージョン管理システム
    バージョン管理システムとはコードデータなどのバージョンを管理するソフトウェアです。

    コード変更におけるログ・ソースコードのレビュー機能などが搭載されており、プルリクエストを実施することでソースコードの相互レビューや本番環境へのマージなどを管理できます。

    自社開発システムが財務報告と関わっている場合、IT全般統制でコード変更の管理が要求されるためバージョン管理システムの導入は必須といえます。

    ● テストツール
    テストツールとはシステムなどのプログラムから欠陥を発見するツールです。テストツールを利用する際は、システムを使用する前の段階においてテスト体制をどの程度構築するのかが鍵となります。

    テスト内容の管理・承認作業はシステム監査を行うに当たって不可欠な項目です。

    ● バッチ処理のツール
    バッチ処理とは一定量、もしくは一定期間のデータを収集し、一括処理するための処理方法です。売上データや人事労務データなどを一定期間ごとに大量に集めて処理を行うときや、アプリケーションの自動実行において活用されます。

    バッチ処理は自動実行されるものの、バッチ処理を行うツールの選択の他、バッチ処理をした際にエラーが出た場合の対処法や定期実行におけるプログラミングのパターンなどをシステム監査は確認しなければなりません。

  • まとめ

    ITシステムを活用するとビジネスを円滑に進められ、少ない負担で各種データの管理が行えるものの、リスクがあることも忘れてはいけません。IT全般統制にうまく対応できない場合、安全かつ効率的な運用が行えなくなる危険性があります。

    社内のITシステムはさまざまな要素が一体となり機能するものです。効率的かつ効果的に構築・運用するためにも、IT全般統制を正しく取り入れることをおすすめします。

    例えばSMART STAGEサービスデスクは、自社におけるIT全般統制に役立ちます。本サービスを導入すれば、インシデント管理、サービス要求管理、問題管理などさまざまな管理をまとめて行うことが可能です。サポートが手厚いため、IT人材が不在の企業であっても無理なく導入できるでしょう。

専用環境の無料トライアル!
自由にご利用いただける
体験版SaaS環境をご提供! 「SmartStageサービスデスク」を
14日間・無料でお試し頂けます