IT統制とは？

公開日2023/09/20 更新日2023/09/20 ブックマーク数

１．IT統制とは

IT統制とは、ITに関するリスクを管理し、ITリスクを適切にコントロールする仕組みを構築し運用するための活動のことです。
IT統制で行うべきことを理解するためには、まず内部統制とIT統制の関連性について理解する必要があります。金融庁が公表する「財務報告に係る内部統制の評価及び監査の基準」によると、内部統制の4つの目的を達成するために6つの基本的要素があり、そのうちの一つに「ITへの対応」が挙げられています。

① 統制環境
② リスクの評価と対応
③ 統制活動
④ 情報と伝達
⑤ モニタリング（監視活動）
⑥ ＩＴ（情報技術）への対応

出典：金融庁「財務報告に係る内部統制の評価及び監査の基準」

「ITへの対応」は、他の基本的要素と独立して存在するものではなく、内部統制の目的を達成するために不可欠な要素として存在します。例えば、「情報と伝達」において、把握した情報をITシステムで一元管理し社内で周知するといったように、「ITへの対応」は他の要素とも深く関連しています。現在、ほとんどの企業がITシステムなしで業務を遂行することは困難ですので、内部統制の目的を達成するために必要不可欠な要素がITへの対応であり、IT統制であると言えます。

つまり、内部統制における重要な一要素としてIT統制がある、ということです。

▲内部統制4つの目的を達成するために必要な6つの基本的要素のうちの1つが「ITへの対応」

２．IT統制の種類（IT全社的統制とは、IT全般統制（ITGC）とは、IT業務処理統制（ITAC）とは）

「財務報告に係る内部統制の評価及び監査の基準」において、内部統制の目的を達成するための基本的要素の一つである「ITへの対応」は、「IT環境への対応」「ITの利用」「ITの統制」から構成されると定義されています。

ＩＴへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のＩＴに対し適切に対応することをいう。
ＩＴへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がＩＴに大きく依存している場合や組織の情報システムがＩＴを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。
ＩＴへの対応は、ＩＴ環境への対応とＩＴの利用及び統制からなる。

出典：金融庁「財務報告に係る内部統制の評価及び監査の基準」

IT環境への対応およびITの利用を行うための仕組みとしてIT全社的統制があり、ITの統制を行うための仕組みとしてIT全般統制（ITGC）およびIT業務処理統制（ITAC）があります。
IT統制はこれら3つから構成されます。

・IT全社的統制：経営レベルでのコントロール
・IT全般統制（ITGC）：ITシステムの環境を保証するためのコントロール
・IT業務処理統制（ITAC）：ITシステムを用いた業務を正確に行うためのコントロール

それぞれの詳細について解説します。