J-SOX、会社法、サイバーセキュリティ、個人情報保護、委託先管理、内部監査を横断し、重要システムを信頼できる状態に保つための実務を整理します。
ITGCは情報システム部門だけの確認表ではなく、財務報告、法令遵守、証跡保全、委託先管理、取締役 会の監督を支える統治基盤です。
ITGC(IT全般統制)の整備と評価は、個別の業務処理統制が正しく機能し続けるためのIT環境を保証する取り組みです。会計システム上で売上承認が自動化されていても、退職者IDが残っている、プログラム変更が無承認で本番反映される、バックアップが復元不能である、委託先の管理者権限が監視されていない状態では、その自動統制を信頼しにくくなります。
この重要ポイントは、ITGCが何を守る仕組みなのか、なぜ経営・法務・監査にとって重要なのか、最初に何を読み取るべきかを示します。ここでは、ITGCを「システムが動いているか」の確認ではなく、「重要な情報、取引、記録、判断、報告を信頼できる状態に保てているか」の説明責任として捉えることが重要です。
アクセス管理、変更管理、運用管理、セキュリティ、外部委託管理、証跡管理を通じて、財務報告、個人情報保護、契約責任、事業継続、紛争時の証拠価値を支えます。
ITGC(IT全般統制)の整備と評価では、次の6つの問いに答える必要があります。
IT統制の全体像を、業務処理統制との関係、整備状況評価と運用状況評価の違いから整理します。
内部統制とは、企業の業務を適正に遂行するために組織内で整備・運用される仕組みです。財務報告に係る内部統制では、業務の有効性及び効率性、報告の信頼性、法令等の遵守、資産の保全が目的として整理され、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応が基本的要素となります。
次の比較表は、ITGCと業務処理統制の役割の違いを表しています。両者を分けて理解することは、どの不備が個別処理の問題で、どの不備がシステム環境全体の信頼性に関わる問題かを判断するために重要です。列の「意味」と「例」を見比べ、個別機能を支える前提統制がITGCである点を読み取ってください。
| 区分 | 意味 | 例 |
|---|---|---|
| ITGC(IT全般統制) | 業務処理統制が有効に機能する環境を保証する統制です。 | アクセス管理、変更管理、システム運用管理、バックアップ、外部委託管理、セキュリティ管理 |
| 業務処理統制 | 個別業務または個別アプリケーションに組み込まれた統制です。 | 売上承認、与信限度チェック、三点照合、入力制限、自動計算、例外レポート、インターフェース照合 |
たとえば、販売管理システムに「受注承認がない限り出荷できない」という機能がある場合、その機能自体は業務処理統制です。しかし、承認機能を無断で変更できる、承認権限を誰でも取得できる、テストされていないプログラムが本番環境へ移行される、障害時にデータが失われる状態では、その業務処理統制は信頼できません。
ITGC(IT全般統制)の整備とは、リスクに対応する統制を設計し、規程、手続、権限、システム設定、運用手順、証跡保存方法として実装することです。規程を作るだけでは足りず、承認権限、ログ、チケット、委託契約、教育、責任分担、例外処理、証拠保全までが一体として機能する必要があります。
次の比較表は、整備状況評価と運用状況評価の違いを表しています。評価の目的が混同されると、規程の有無だけを確認して実際の運用証拠を見落とすおそれがあるため重要です。主な問いと典型的な証拠を確認し、設計の妥当性と期間中の実施事実を分けて読み取ってください。
| 評価区分 | 主な問い | 典型的な証拠 |
|---|---|---|
| 整備状況の評価 | その統制は、想定リスクを低減するように設計されているか。 | 規程、業務の流れ、権限表、職務分掌表、契約書、システム設定、統制記述書 |
| 運用状況の評価 | その統制は、対象期間中、実際に運用されていたか。 | 申請・承認記録、チケット、ログ、レビュー記録、テスト結果、議事録、監査証跡 |
ITGCは、上場会社等のJ-SOX対応だけでなく、会社法上の内部統制システム、個人情報保護、営業秘密管理、訴訟・不祥事調査にも関係します。重要な会計データ、契約データ、個人データ、取締役会資料、稟議記録、電子メール、ログ、監査証跡が適切に保存・管理されていない場合、情報管理体制やリスク管理体制の不備として問題となり得ます。
次の比較一覧は、ITGCが企業法務で問題になる主要場面を表しています。単一の監査手続ではなく、複数の法務リスクに同じ統制が影響するため重要です。各項目から、アクセス権限、ログ、バックアップ、委託先監督がどの法務論点につながるかを読み取ってください。
会計システム、販売管理、購買、在庫、原価計算、連結決算、BI、RPAなどが財務報告に影響する場合、誰が権限を持ち、何を変更し、どのログが残るかを証拠で説明する必要があります。
重要情報の保存・管理、損失危険の管理、企業集団管理、事業継続は、会社法上の内部統制システムと密接に関係します。
アクセス制御、ログ管理、委託先管理、退職者ID削除、暗号化、バックアップ、漏えい対応は、個人データの安全管理に直結します。
電子データが真正に作成・保存され、誰がアクセスし、誰が変更し、どの時点で承認されたかを説明できることは、契約紛争や不正調査で重要です。
ランサムウェアで基幹システムが停止し、バックアップ復旧ができない場合、それは単なるIT障害ではありません。事業継続、取締役会監督、顧客対応、開示、損害賠償、行政対応に及ぶ法務問題となります。
内部統制基準、COSO、COBIT、ISO/IEC 27001、NIST CSF、サイバーセキュリティ経営ガイドラインを目的別に位置づけます。
ITGC(IT全般統制)の整備と評価では、単一の基準だけを機械的に適用するのではなく、目的に応じて複数の基準や枠組みを使い分けることが重要です。財務報告、ITガバナンス、情報セキュリティ、サイバーリスク、経営監督では、同じ統制を別の角度から説明する必要があります。
次の一覧は、ITGCで参照される主要な基準や枠組みを表しています。どの枠組みを何のために使うかを分けることは、監査対応、取締役会説明、セキュリティ施策の優先順位をそろえるために重要です。各項目では、財務報告、経営監督、セキュリティ、委託先管理のどこに効くかを読み取ってください。
財務報告に係る内部統制の整備・評価・監査の中核です。IT統制の目的として、準拠性、信頼性、可用性、機密性を整理します。
J-SOX統制環境、リスク評価、統制活動、情報と伝達、モニタリングの観点で、ITGCを経営者の統制活動として説明しやすくします。
統制設計企業ITのガバナンスとマネジメントを扱い、取締役会、経営者、CIO、CISO、内部監査、法務が共通言語を持つ際に有用です。
ITガバナンスISMSの要求事項を定める国際規格です。アクセス管理、ログ、委託先管理、バックアップ、インシデント管理などでITGCと重なります。
情報セキュリティGovern、Identify、Protect、Detect、Respond、Recoverにより、資産把握、保護、検知、対応、復旧を整理できます。
サイバーリスクサイバーリスクを経営リスクとして捉え、テレワーク、クラウド、ランサムウェア、サプライチェーン攻撃への対応を経営課題として扱います。
経営監督すべてのシステムを同じ深さで評価するのではなく、財務報告、個人情報、営業秘密、事業継続への影響で対象範囲を定めます。
ITGCの評価範囲は、すべてのシステムを同じ深さで確認することではありません。重要なのは、財務諸表の数値、会計データ連携、重要マスタ、個人情報、営業秘密、契約、稟議、電子署名、取締役会資料、事業継続、クラウド・SaaS・外部委託先への依存度を踏まえ、リスクベースで対象範囲を決定することです。
次の一覧は、ITGCの対象候補となるシステムやデータを表しています。範囲設定の漏れは、重要なSaaS、Excelマクロ、RPA、データ連携、委託先運用、管理者権限、帳票ロジックを評価外にしてしまうため重要です。各項目から、財務報告だけでなく法令遵守・事業継続・情報管理に影響する対象を読み取ってください。
売上、原価、在庫、購買、支払、固定資産、人件費、税金、連結決算に関わるシステムです。
販売管理、購買管理、ワークシート、RPA、データ分析基盤など、会計データに接続する領域です。
個人情報、営業秘密、知的財産、顧客情報、契約、稟議、電子署名、取締役会資料を扱うシステムです。
障害時に受注、請求、出荷、顧客対応、決算、開示へ重大な影響を与える基盤です。
クラウド、SaaS、運用ベンダー、BPOなど、社外の管理者権限や再委託が関与する領域です。
次の比較表は、システムを評価するときに確認すべき技術レイヤーと主な統制論点を表しています。アプリケーション名だけで範囲を決めると、データベース、ID基盤、ネットワーク、開発・運用基盤、委託先の重要リスクを見落とすため重要です。各行から、どの階層で誰の権限・変更・ログ・契約を確認すべきかを読み取ってください。
| レイヤー | 例 | 主な統制論点 |
|---|---|---|
| 業務アプリケーション | ERP、販売管理、購買、在庫、人事給与、連結決算 | 業務権限、マスタ管理、承認、帳票、インターフェース |
| データベース | RDB、DWH、データレイク | DB管理者権限、直接更新、バックアップ、ログ |
| OS・サーバー | Windows、Linux、仮想基盤 | 管理者権限、パッチ、ジョブ、監視 |
| ネットワーク | VPN、FW、WAF、DNS、負荷分散 | 接続制御、ログ、設定変更、セグメンテーション |
| ID基盤 | Active Directory、IdP、SSO、MFA | アカウント発行・変更・削除、認証、特権管理 |
| 開発・運用基盤 | Git、CI/CD、チケット、構成管理 | ソース変更、承認、テスト、リリース |
| クラウド | IaaS、PaaS、SaaS | 共有責任モデル、管理者権限、設定、監査報告書 |
| 委託先 | 運用ベンダー、クラウド事業者、BPO | 契約、SLA、再委託、監査権、事故通知 |
固定的なローテーション評価には注意が必要です。クラウド化、SaaS利用、システム刷新、M&A、アウトソーシング、サイバー攻撃、リモートアクセス、生成AI利用、RPA導入によりIT環境は変化します。評価範囲は毎年のリスク評価に基づき、重要な変更、障害、不正、インシデント、組織再編、委託先変更、監査指摘を反映して見直す必要があります。
ガバナンス体制、システム棚卸し、リスク評価、RCM、証跡設計を順に整えます。
ITGCの整備は、情報システム部門だけで完結しません。取締役会、CEO、CFO、CIO、CISO、法務、コンプライアンス、個人情報保護、内部統制、内部監査、外部監査人、外部専門家が、それぞれの役割に応じて関与する必要があります。
次の時系列は、ITGCを整備するときの基本的な順番を表しています。順番が重要なのは、責任者や対象範囲が曖昧なまま統制だけを作っても、証跡が評価に耐えず、是正責任も不明確になるためです。上から下へ、体制、棚卸し、リスク、統制設計、証跡の順で積み上げる点を読み取ってください。
経営、経理、IT、セキュリティ、法務、内部監査、監査人の責任範囲と承認経路を明確にします。
システム名、オーナー、利用部門、処理データ、財務報告への影響、委託先、管理者権限、変更管理、バックアップ、復旧目標を整理します。
財務報告、法令遵守、業務継続、情報セキュリティ、契約、訴訟、レピュテーションの観点でリスクを分類します。
リスク、統制、責任者、頻度、証拠、評価手続、不備時対応を対応付けます。
証跡の形式、保存場所、保存期間、改ざん防止、閲覧権限、バックアップを定めます。
次の比較表は、ITGC整備に関与する主な役割と責任を表しています。IT部門任せを避けることは、財務報告、個人情報、契約、開示、監査を横断して統制を機能させるために重要です。各役割がどの責任を負うかを読み取り、承認者と実施者を分けて設計してください。
| 役割 | 主な責任 |
|---|---|
| 取締役会・監査役等 | 重要リスク、内部統制システム、サイバーリスク、是正計画の監督 |
| 代表取締役・CEO | 全社的リスク管理、内部統制整備の最終責任 |
| CFO・経理部門 | 財務報告リスク、決算プロセス、会計システムの統制責任 |
| CIO・情報システム部門 | システム運用、変更管理、アクセス管理、ITサービス管理 |
| CISO・セキュリティ部門 | セキュリティポリシー、監視、脆弱性、インシデント対応 |
| 法務・コンプライアンス | 契約、委託先管理、規程、法令遵守、証拠保全、開示判断、教育、内部通報、是正管理 |
| 個人情報保護担当 | 個人データの安全管理、委託先監督、漏えい対応 |
| 内部統制・内部監査 | J-SOX評価、統制文書、評価手続、独立的評価、改善提言 |
| 外部監査人・外部専門家 | 財務報告に係る内部統制監査、高度な法務、フォレンジック、セキュリティ助言 |
次の比較表は、RCMでリスクと統制をどう対応付けるかを表しています。RCMは監査対応の書類にとどまらず、実施者、頻度、証拠、評価手続、是正方法を明確にするために重要です。退職者IDの例から、統制目的と証拠が対応しているかを読み取ってください。
| 項目 | 記載例 |
|---|---|
| リスク | 退職者IDが残存し、不正アクセスやデータ改ざんが発生する。 |
| 統制目的 | 不要なアクセス権限を速やかに削除する。 |
| 統制内容 | 人事退職者リストとシステムアカウント一覧を月次照合し、退職者IDの削除を確認する。 |
| 責任者・頻度 | 情報システム部門ID管理責任者が月次で実施する。 |
| 証拠 | 退職者リスト、アカウント一覧、照合結果、削除チケット、承認記録 |
| 評価手続 | 対象月を抽出し、照合・削除・承認が期限内に完了しているか確認する。 |
| 不備時対応 | 残存IDの即時停止、影響調査、原因分析、再発防止 |
証跡設計は法務上も重要です。後日、訴訟、当局調査、監査、内部通報調査、データ漏えい調査が発生した場合、証跡が散在し、保存期間が短く、改ざん可能で、権限が曖昧であれば、企業の説明可能性が低下します。
アクセス管理、変更管理、運用管理、セキュリティ・ログ管理、外部委託・クラウド管理を確認します。
ITGCの主要統制領域は、業務処理統制を信頼できる状態に保つための土台です。アクセス管理、変更管理、運用管理、セキュリティ・ログ管理、外部委託・クラウド管理のどれかが弱いと、個別の自動統制や承認機能の信頼性が揺らぎます。
次の一覧は、ITGCで特に確認すべき5つの統制領域を表しています。領域ごとの目的を分けることは、評価手続や証跡の集め方を誤らないために重要です。各項目から、誰の権限、どの変更、どの処理、どのログ、どの委託先を確認すべきかを読み取ってください。
誰が、どのシステムに、どの権限で、いつからいつまでアクセスできるかを統制します。
プログラム、設定、マスタ、帳票、パラメータ、クラウド設定の変更を、承認、テスト、本番移行、記録で統制します。
日常処理、ジョブ、バッチ、インターフェース、バックアップ、障害対応、監視、パッチ適用を対象にします。
アクセス管理、脆弱性対応、ログ監視、インシデント対応、バックアップ、証拠保全を内部統制と接続します。
契約、SLA、再委託、監査報告書、事故通知、データ返還・削除を通じて統制を及ぼします。
アクセス管理では、業務上の必要性と権限者の承認に基づくアカウント発行、異動・休職・出向・退職に応じた権限変更・削除、退職者ID・長期未使用ID・共有ID・テストID・初期IDの定期確認、特権IDの申請・承認・利用ログ・事後レビュー、職務分掌違反の防止、多要素認証、委託先アクセスの期限・目的・ログ・接続経路管理、業務オーナーによる定期レビューを確認します。
典型的な不備として、退職者IDが残っている、管理者権限を複数人で共有している、業務部門の承認なしにIT部門が権限を付与している、付与権限と職務内容の対応関係が不明である、特権IDの利用ログを確認していない、委託先IDが常時有効で利用目的が記録されていない、アクセス権レビューが形骸化している、といったものがあります。
変更管理では、変更要求の目的、影響範囲、リスク、期限を明記し、業務オーナー、IT責任者、必要に応じて法務・会計・セキュリティが承認します。開発環境、テスト環境、本番環境を分離し、テスト結果とユーザー受入テストを記録し、承認された変更のみを本番移行します。緊急変更では、事後承認・事後レビュー、変更履歴保存、ロールバック手順が重要です。
本番環境を直接修正している、口頭承認だけで変更している、テスト証跡が残っていない、緊急変更が常態化している、業務部門が変更内容を理解しないまま承認している、開発者が本番移行権限を持つ、SaaS設定変更が評価対象外になっている場合には、財務数値の誤り、サービス障害、個人データの誤送信、規制違反、SLA違反、顧客損害、知財侵害に発展し得ます。
システム運用管理では、日次・月次・年次ジョブのスケジュールと実行結果、インターフェース処理の件数・金額・エラー、バックアップ取得と復旧テスト、障害・インシデントの受付・分類・原因分析・対応・再発防止、パッチ・脆弱性・マルウェア対策、時刻同期、容量・性能・可用性監視、手順書整備を確認します。
バックアップは取得しているが復旧テストをしていない、バッチエラーがメール通知だけで対応記録がない、インターフェース処理の欠落を業務部門が検知できない、障害管理票に原因分析や再発防止がない、パッチ適用判断の基準がない、夜間・休日の障害対応体制が不明、ランサムウェア感染時の復旧順序が決まっていない状態は、運用統制上の重要な兆候です。
重要システムのログ取得範囲、保存期間、閲覧権限、管理者操作、権限変更、重要マスタ変更、設定変更、ログイン失敗の監視、ログの改ざん防止、時刻同期、集中管理、脆弱性診断、パッチ管理、構成管理、エンドポイント保護、ネットワーク分離、メール対策、EDR、SIEM、インシデント対応手順、連絡体制、証拠保全、暗号化、鍵管理、データ持出制御を確認します。
ログは、監査証跡であると同時に、訴訟・調査・当局対応で重要な証拠となります。ログ保存期間が短すぎる場合、侵害発見後に原因や影響範囲を特定できないおそれがあります。ログに個人情報が含まれる場合、利用目的、アクセス権限、保存期間、委託先管理も検討する必要があります。
外部委託とクラウド利用では、委託業務の範囲、サービス水準、稼働率、復旧目標、セキュリティ要件、アクセス権限、管理者操作、再委託、個人情報・機密情報、監査権・報告権、SOC報告書等、事故通知期限、障害時の協力、データ返還・削除、契約終了時の移行支援、損害賠償、責任制限、免責、準拠法、裁判管轄、越境移転を確認します。
SOC 1、SOC 2、ISAE 3402等の報告書を利用する場合、対象期間、対象サービス、対象統制、除外事項、補完的ユーザー企業統制、例外事項、監査人の意見、サブサービス組織の取扱いを確認する必要があります。特に、SaaS事業者側の統制が有効でも、利用企業側が管理者IDを共有し、退職者IDを削除せず、権限レビューをしていなければ、全体として統制は有効とはいえません。
評価計画、整備状況評価、運用状況評価、サンプリング、不備評価、是正管理を証拠ベースで進めます。
ITGC評価は、年度末に急いで証跡を集める作業ではありません。評価対象期間、対象システム、対象統制、サンプル方針、評価者、スケジュール、監査人との協議、是正期限を事前に定める必要があります。
次の判断の流れは、ITGC評価を計画から是正まで進める順番を表しています。各段階を分けることは、質問だけで評価を終えたり、不備を発見しても重要性評価やフォローアップをしなかったりする事態を防ぐために重要です。上から下へ、計画、設計、運用、影響、是正の順に証拠を積み上げる点を読み取ってください。
目的、期間、対象会社、対象部門、対象システム、対象領域、手続、サンプル方針、証跡期限、担当者、不備判定基準を定めます。
リスク、統制目的、実施者、承認者、頻度、証拠、職務分掌、例外処理、委託先範囲、エスカレーションを確認します。
質問、観察、文書閲覧、再実施、ログ確認、システム設定確認により、対象期間中の実施事実を検証します。
単発か反復か、影響システム、財務報告、法令違反、契約違反、事業停止、代替統制、既発生事象を確認します。
暫定対応、恒久対応、期限、責任者、残存リスクを明確にします。
原因分析、効果確認、翌年度計画への反映を管理します。
次の比較表は、運用状況評価で用いられる評価手続を表しています。質問だけでは十分な証拠になりにくいため、どの手続でどの証拠を見るかを分けることが重要です。内容と例を見比べ、証跡に基づく検証が必要な領域を読み取ってください。
| 評価手続 | 内容 | 例 |
|---|---|---|
| 質問 | 担当者に手続を確認する。 | ID削除手順をIT担当者に確認する。 |
| 観察 | 実際の作業を観察する。 | 管理者権限付与手続を確認する。 |
| 文書閲覧 | 証跡を確認する。 | 承認履歴、チケット、ログを確認する。 |
| 再実施 | 評価者が手続を再計算・再照合する。 | 退職者リストとアカウント一覧を照合する。 |
| システム確認 | 設定や一覧を直接確認する。 | 権限設定、MFA設定、ログ保存設定を確認する。 |
次の比較表は、統制頻度に応じたサンプル抽出の考え方を表しています。頻度と母集団を意識しない抽出は、評価結果の説明可能性を弱めるため重要です。年次、四半期、月次、日次、発生都度で、確認すべき母集団と抽出方針が異なる点を読み取ってください。
| 統制頻度 | サンプルの考え方 |
|---|---|
| 年次 | 原則として実施事実を確認します。 |
| 四半期 | 複数回分を確認します。 |
| 月次 | 一定数の月を抽出します。 |
| 週次・日次 | 母集団からリスクに応じて抽出します。 |
| 発生都度 | 変更、権限付与、障害等の母集団から抽出します。 |
不備は、整備上の不備と運用上の不備に分けて評価します。整備上の不備は統制そのものが存在しない、または設計が不十分な場合です。運用上の不備は、統制は設計されているが実際には実施されていない、証跡がない、承認が遅れている、レビューが形骸化している場合です。
次の比較表は、不備を発見した後の是正管理に必要な項目を表しています。改善予定だけでは統制不備の管理として不足しやすいため、原因、暫定対応、恒久対応、期限、効果確認、報告先まで明確にすることが重要です。各項目から、責任者と期限を伴うフォローアップの形を読み取ってください。
| 項目 | 記載例 |
|---|---|
| 不備内容 | 退職者ID削除が退職後30日以上遅延した。 |
| 影響範囲 | 会計システム、販売管理システム |
| 根本原因 | 人事退職情報とID管理チケットが連携されていない。 |
| 暫定対応 | 残存IDを即時停止し、ログを確認する。 |
| 恒久対応 | 人事システムとID管理の月次照合を導入する。 |
| 責任者・期限 | 情報システム部長が2026年7月末までに対応する。 |
| 効果確認 | 8月・9月の退職者ID削除状況を再評価する。 |
| 報告先 | CFO、CIO、内部統制委員会、監査役会 |
契約、取締役会報告、M&A、IPO、インシデント対応で法務が確認すべきポイントを整理します。
企業法務専門家は、ITGCを法的リスク管理の一部として捉える必要があります。委託契約、個人情報保護、営業秘密、データ漏えい、開示、取締役責任、訴訟証拠、不祥事調査、M&Aデューデリジェンスでは、技術的な統制だけでなく、契約条項、証跡、報告経路、説明可能性が問題になります。
次の一覧は、企業法務がITGCを確認すべき代表的な場面を表しています。場面ごとに見るべき証拠と判断軸が異なるため、契約審査だけでなく、実際の運用証跡や報告資料まで確認することが重要です。各項目から、どの部門と連携し、どの資料を確認すべきかを読み取ってください。
委託先・クラウド契約では、セキュリティ基準、個人情報・機密情報、再委託、監査権、事故通知、ログ保存、SLA、バックアップ、データ返還・削除、責任制限を確認します。
重大なITGC不備では、事業影響、財務報告影響、法令遵守影響、顧客影響、委託先影響、是正期限を明確に報告します。
対象会社の管理者権限、会計データ、退職者アカウント、委託契約、SaaS名義、ソースコード、バックアップ、越境移転を確認します。
基幹システム棚卸し、会計システムと周辺システムのデータの流れ、退職者ID削除、変更管理、復旧テスト、委託先契約、監査証跡保存を優先します。
ログ、変更管理証跡、アクセス権レビュー記録があれば、侵入経路、影響範囲、操作主体、改ざん有無を確認しやすくなります。
取締役会・監査役等への報告では、技術的詳細だけでなく、重要リスクの概要、影響を受けるシステム・業務、発見された不備、発生原因、既発生の影響、財務報告・法令遵守・契約上の影響、暫定対応、恒久対応、残存リスク、取締役会に求める判断事項を整理することが有効です。
M&Aで見落とされがちな論点には、対象会社の管理者権限が創業者・特定ベンダーに集中していること、会計データがExcelや個人端末に依存していること、退職者アカウントや共有IDが多数存在すること、委託契約に監査権や事故通知義務がないこと、SaaSアカウントが個人名義で契約されていること、ソースコードや設定情報の権利関係が不明であること、バックアップが買収後統合方針と整合しないこと、個人情報の越境移転や共同利用の説明が不十分であることがあります。
ガバナンス、範囲設定、アクセス、変更管理、運用、セキュリティ、委託先、クラウド、証跡、評価、不備管理、法務連携を確認します。
以下は、ITGC(IT全般統制)の整備と評価で確認すべき代表的項目です。実際には、企業規模、業種、システム構成、上場状況、規制環境、委託先利用状況に応じて調整します。
次の比較表は、領域ごとのチェック項目と主な証拠を表しています。チェック項目だけを満たしたつもりでも、証拠が残らなければ評価や監査で説明しにくくなるため重要です。各行では、統制の有無だけでなく、どの資料・ログ・記録で確認するかを読み取ってください。
| 領域 | チェック項目 | 主な証拠 |
|---|---|---|
| ガバナンス | ITGCの責任者と承認者が明確か。 | RACI、規程、委員会議事録 |
| ガバナンス | 取締役会・経営会議に重要ITリスクが報告されているか。 | 報告資料、議事録 |
| 範囲設定 | 重要システムの棚卸しがあるか。 | システム一覧、データの流れ |
| 範囲設定 | 財務報告・個人情報・営業秘密への影響を評価しているか。 | リスク評価表 |
| アクセス | アカウント発行は承認に基づくか。 | 申請書、承認ログ |
| アクセス | 退職者IDは速やかに削除されるか。 | 退職者リスト、削除記録 |
| アクセス | 定期的なアクセス権レビューを実施しているか。 | レビュー一覧、承認記録 |
| アクセス | 特権IDの利用は申請・承認・ログ確認されるか。 | 特権ID利用記録 |
| アクセス | 職務分掌違反を検出しているか。 | SoD一覧、例外承認 |
| 変更管理 | 変更要求はチケット化されているか。 | 変更チケット |
| 変更管理 | 変更は業務オーナー・IT責任者が承認しているか。 | 承認記録 |
| 変更管理 | テストとユーザー受入が記録されているか。 | テスト結果、UAT記録 |
| 変更管理 | 本番移行は承認済み変更に限定されるか。 | リリース記録 |
| 変更管理 | 緊急変更の事後レビューがあるか。 | 緊急変更記録 |
| 運用 | ジョブ・バッチの実行結果を確認しているか。 | ジョブログ、確認記録 |
| 運用 | インターフェースの件数・金額を照合しているか。 | 照合表、エラー記録 |
| 運用 | バックアップを取得し、復旧テストを実施しているか。 | バックアップログ、復旧テスト |
| 運用 | 障害管理と原因分析を実施しているか。 | 障害管理票 |
| セキュリティ | 重要ログの取得・保存・レビューがあるか。 | ログ設定、レビュー記録 |
| セキュリティ | パッチ・脆弱性対応の基準があるか。 | パッチ管理表 |
| セキュリティ | インシデント対応手順があるか。 | IR手順書、訓練記録 |
| 委託先 | 委託契約にセキュリティ・監査・事故通知条項があるか。 | 契約書、DPA |
| 委託先 | SOC報告書等をレビューしているか。 | レビュー記録 |
| 委託先 | 再委託先を把握しているか。 | 再委託一覧 |
| クラウド | 共有責任モデルを理解し、利用者側統制を実施しているか。 | クラウド設定、統制一覧 |
| 証跡 | 統制証跡の保存場所・保存期間が明確か。 | 文書管理規程 |
| 評価 | 整備状況評価と運用状況評価を区別しているか。 | 評価調書 |
| 不備管理 | 不備の重要性評価と是正計画があるか。 | 不備管理表 |
| 法務連携 | 個人情報、契約、訴訟、開示への影響を検討しているか。 | 法務レビュー記録 |
| 継続改善 | 過年度指摘、事故、環境変化を翌年度計画に反映しているか。 | 改善計画、評価計画 |
規程と実務の不一致、IT部門任せ、SaaS漏れ、復旧不能、証跡不足、不備評価不足を避けます。
ITGCでよくある失敗は、統制が存在しないことだけではありません。規程はあるが運用されていない、業務部門が関与していない、SaaSを評価対象外にしている、バックアップが復旧できない、証跡が評価に耐えない、不備の重要性を評価していない、といった形で表れます。
次の一覧は、ITGC評価で発見されやすい失敗と改善の方向性を表しています。失敗のパターンを先に知ることは、形式的な規程整備で止まらず、実際に評価・監査・事故対応に耐える統制へ改善するために重要です。各項目から、何を仕組みに変えるべきかを読み取ってください。
チャット依頼で権限付与され、承認証跡が残らない状態です。規程、承認経路、システム設定、証跡保存を一致させます。
売上承認権限や帳票ロジックの妥当性は業務部門・経理部門が判断します。権限レビュー、変更承認、UAT、例外承認に業務オーナーを参加させます。
請求、契約、顧客管理、経費精算、電子署名、勤怠、給与、会計連携に使うSaaSは重要統制対象になり得ます。
復旧テストを定期的に行い、復旧対象、復旧時間、復旧順序、依存システム、権限者、連絡体制を確認します。
実施したが証跡がない、メールが削除された、ログ保存期間が過ぎた状態を避けるため、統制設計の段階で証跡を定義します。
財務報告、個人情報、業務継続、契約、開示、訴訟への影響を評価し、是正優先度を決めます。
中小企業・IPO準備企業では、30日、90日、180日、年次の順で成熟度を高めます。
すべての企業が最初から大企業並みの統制を構築できるわけではありません。重要なのは、リスクに応じて段階的に成熟度を高めることです。
次の時系列は、中小企業・IPO準備企業がITGCを段階的に整えるための目安を表しています。期限ごとに優先順位を分けることは、短期間で全領域を完璧にしようとして進まなくなる状態を避けるために重要です。30日で棚卸し、90日で標準化、180日で評価試行、年次で継続改善という順番を読み取ってください。
会計、販売、購買、在庫、給与、契約、個人情報システムを特定し、管理者権限、退職者ID、共有ID、不要ID、重大障害、委託先、バックアップ取得状況を確認します。
アクセス権限付与・変更・削除手続、特権ID利用記録、変更管理チケット、本番直接修正の禁止または例外管理、月次アクセス権レビュー、復旧テスト、主要委託契約確認、RCM作成を進めます。
評価対象システムの整備状況評価、主要統制の運用状況評価、不備管理表、取締役会または経営会議への重要リスク報告、内部監査または外部専門家レビュー、SOC報告書等のレビュー、インシデント対応訓練を実施します。
システム棚卸しとリスク評価を更新し、重要変更、M&A、組織変更、委託先変更を評価範囲へ反映し、評価計画、整備状況・運用状況評価、不備是正、監査役等・内部監査・外部監査人との協議、取締役会報告を継続します。
弁護士、公認会計士、内部監査、法務、CISO、個人情報保護、フォレンジックの役割を整理します。
ITGCは、会計監査、法務、セキュリティ、個人情報保護、内部監査、経営監督が交差する領域です。専門職ごとに関心が異なるため、同じ統制でも何を証拠として見るか、どのリスクを重視するかを明確にする必要があります。
次の一覧は、専門職別の関与ポイントを表しています。横断的な連携が不足すると、契約条項は整っているがログが残らない、技術対策はあるが取締役会へ報告されない、といった分断が生じるため重要です。各項目から、誰がどの観点でITGCを補強するかを読み取ってください。
財務報告に係る内部統制の観点から、ITGCが自動化された会計処理、インターフェース、帳票、マスタ、決算システムに与える影響を評価します。
財務報告規程の存在だけでなく、実際の運用、証跡、例外、是正状況、部門間連携、取締役会報告を独立的に確認します。
独立評価契約、規程、委託先、個人情報、内部通報、証拠保全、当局対応、社内教育において、ITGC不備が生む法的問題を整理します。
社内連携技術的統制を設計・運用しつつ、承認、証跡、職務分掌、評価可能性、法務・監査への説明可能性を確保します。
技術統制平時からログ保存、時刻同期、アクセス管理、証跡保全、端末管理、クラウドログ取得可能性について助言できます。
調査対応技術的な説明だけでなく、事業影響、財務報告影響、法令遵守影響、是正期限を明確にします。
取締役会へITGCを報告する場合は、基幹システムやSaaSへの依存、アクセス管理、変更管理、バックアップ、外部委託管理の不備が、財務報告の誤り、個人情報漏えい、業務停止、契約違反、監査上の指摘につながる可能性を簡潔に示す必要があります。
報告では、重要システムを棚卸しし、財務報告および個人情報保護への影響が高いシステムをITGC評価対象としたこと、評価結果として退職者ID削除の遅延、緊急変更の事後レビュー不足、委託先SOC報告書レビュー未実施などが検出されたこと、現時点で財務報告への具体的な虚偽表示が確認されていない場合でも統制不備として是正を進めることを説明します。
是正策としては、月次退職者ID照合、緊急変更レビュー会議、委託先監査報告書レビュー手続の導入、是正完了後の運用状況再評価、監査役会および取締役会への報告を明示する構成が有効です。
ITGCを、企業が自社の重要な情報、取引、記録、判断、報告を信頼できると説明するための統治技術として位置づけます。
ITGC(IT全般統制)の整備と評価は、会計監査対応だけの作業ではありません。企業がITに依存して事業を営む以上、ITGCは、財務報告、会社法上の内部統制システム、個人情報保護、契約責任、委託先管理、サイバーセキュリティ、訴訟証拠、M&A、IPO、取締役会監督を支える基盤です。
次の重要ポイントは、ITGCの本質を確認するためのまとめです。個別のチェック項目に分解しすぎると全体像を見失いやすいため、統制の目的と経営上の意味を最後に確認することが重要です。各項目から、ITGCが「誰が、何を、いつ、どのように管理し、どの証拠で説明するか」を支える仕組みである点を読み取ってください。
適切なITGCは、企業の透明性、説明責任、法令遵守、事業継続、企業価値を支えます。軽視すれば、不正、誤謬、漏えい、障害、紛争が発生した際に、何が起きたか、誰が関与したか、なぜ防げなかったかを説明できなくなります。
ITGC、内部統制、会社法、個人情報保護、情報セキュリティ、サイバーリスクに関する主要資料を整理します。