2σ Guide

ITGC(IT全般統制)の
整備と評価

J-SOX、会社法、サイバーセキュリティ、個人情報保護、委託先管理、内部監査を横断し、重要システムを信頼できる状態に保つための実務を整理します。

30日 重要システムの初期棚卸し
90日 権限・変更・復旧の標準化
180日 整備状況と運用状況の試行評価
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

ITGC(IT全般統制)の 整備と評価

ITGCは情報システム部門だけの確認表ではなく、財務報告、法令遵守、証跡保全、委託先管理、取締役 会の監督を支える統治基盤です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
ITGC(IT全般統制)の 整備と評価
ITGCは情報システム部門だけの確認表ではなく、財務報告、法令遵守、証跡保全、委託先管理、取締役 会の監督を支える統治基盤です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • ITGC(IT全般統制)の 整備と評価
  • ITGCは情報システム部門だけの確認表ではなく、財務報告、法令遵守、証跡保全、委託先管理、取締役 会の監督を支える統治基盤です。

POINT 1

  • ITGC(IT全般統制)の整備と評価の全体像
  • ITGCは企業統治上の基盤です
  • ITGC(IT全般統制)の整備と評価は、個別の業務処理統制が正しく機能し続けるためのIT環境を保証する取り組みです。

POINT 2

  • ITGC(IT全般統制)の定義と整備・評価の違い
  • IT統制の全体像を、業務処理統制との関係、整備状況評価と運用状況評価の違いから整理します。
  • 内部統制とは、企業の業務を適正に遂行するために組織内で整備・運用される仕組みです。
  • 列の「意味」と「例」を見比べ、個別機能を支える前提統制がITGCである点を読み取ってください。
  • たとえば、販売管理システムに「受注承認がない限り出荷できない」という機能がある場合、その機能自体は業務処理統制です。

POINT 3

  • ITGC(IT全般統制)が企業法務で重要になる理由
  • 財務報告、会社法、個人情報保護、紛争対応をつなぐ論点として、ITGCを 企業法務の視点から確認します。
  • 財務報告の信頼性
  • 取締役会の監督
  • 個人情報保護

POINT 4

  • ITGC(IT全般統制)の参照基準と使い分け
  • 財務報告、ITガバナンス、情報セキュリティ、サイバーリスク、経営監督では、同じ統制を別の角度から説明する必要があります。
  • どの枠組みを何のために使うかを分けることは、監査対応、取締役会説明、セキュリティ施策の優先順位をそろえるために重要です。
  • 各項目では、財務報告、経営監督、セキュリティ、委託先管理のどこに効くかを読み取ってください。
  • 財務報告に係る内部統制の整備・評価・監査の中核です。

POINT 5

  • ITGC(IT全般統制)の対象範囲をリスクベースで決める
  • 財務諸表に影響するシステム
  • 売上、原価、在庫、購買、支払、固定資産、人件費、税金、連結決算に関わるシステムです。
  • 会計システムに連携する周辺領域
  • 販売管理、購買管理、ワークシート、RPA、データ分析基盤など、会計データに接続する領域です。

POINT 6

  • ITGC(IT全般統制)の整備プロセス
  • 1. ガバナンス体制を定義する:経営、経理、IT、セキュリティ、法務、内部監査、監査人の責任範囲と承認経路を明確にします。
  • 2. システム棚卸しとデータの流れを作成する
  • 3. リスク評価を行う:財務報告、法令遵守、業務継続、情報セキュリティ、契約、訴訟、レピュテーションの観点でリスクを分類します。
  • 4. 統制設計書・RCMを作成する:リスク、統制、責任者、頻度、証拠、評価手続、不備時対応を対応付けます。
  • 5. 証跡設計を行う:証跡の形式、保存場所、保存期間、改ざん防止、閲覧権限、バックアップを定めます。

POINT 7

  • ITGC(IT全般統制)の主要統制領域
  • アクセス管理、変更管理、運用管理、セキュリティ・ログ管理、外部委託・クラウド管理を確認します。
  • アクセス管理
  • 変更管理・開発管理
  • システム運用管理

POINT 8

  • ITGC(IT全般統制)の評価方法
  • 1. 評価計画を策定
  • 2. 整備状況を確認:リスク、統制目的、実施者、承認者、頻度、証拠、職務分掌、例外処理、委託先範囲、エスカレーションを確認します。
  • 3. 運用状況を検証:質問、観察、文書閲覧、再実施、ログ確認、システム設定確認により、対象期間中の実施事実を検証します。
  • 4. 不備の影響を評価:単発か反復か、影響システム、財務報告、法令違反、契約違反、事業停止、代替統制、既発生事象を確認します。
  • 5. 経営・監査へ報告:暫定対応、恒久対応、期限、責任者、残存リスクを明確にします。
  • 6. 是正と再評価:原因分析、効果確認、翌年度計画への反映を管理します。

まとめ

  • ITGC(IT全般統制)の 整備と評価
  • ITGC(IT全般統制)の整備と評価の全体像:ITGCは企業統治上の基盤です
  • ITGC(IT全般統制)の定義と整備・評価の違い:IT統制の全体像を、業務処理統制との関係、整備状況評価と運用状況評価の違いから整理します。
  • ITGC(IT全般統制)が企業法務で重要になる理由:財務報告、会社法、個人情報保護、紛争対応をつなぐ論点として、ITGCを 企業法務の視点から確認します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

ITGC(IT全般統制)の整備と評価の全体像

ITGCは情報システム部門だけの確認表ではなく、財務報告、法令遵守、証跡保全、委託先管理、取締役会の監督を支える統治基盤です。

ITGC(IT全般統制)の整備と評価は、個別の業務処理統制が正しく機能し続けるためのIT環境を保証する取り組みです。会計システム上で売上承認が自動化されていても、退職者IDが残っている、プログラム変更が無承認で本番反映される、バックアップが復元不能である、委託先の管理者権限が監視されていない状態では、その自動統制を信頼しにくくなります。

この重要ポイントは、ITGCが何を守る仕組みなのか、なぜ経営・法務・監査にとって重要なのか、最初に何を読み取るべきかを示します。ここでは、ITGCを「システムが動いているか」の確認ではなく、「重要な情報、取引、記録、判断、報告を信頼できる状態に保てているか」の説明責任として捉えることが重要です。

ITGCは企業統治上の基盤です

アクセス管理、変更管理、運用管理、セキュリティ、外部委託管理、証跡管理を通じて、財務報告、個人情報保護、契約責任、事業継続、紛争時の証拠価値を支えます。

ITGC(IT全般統制)の整備と評価では、次の6つの問いに答える必要があります。

  1. どのシステム、データ、業務、委託先が、財務報告、法令遵守、事業継続、企業価値に重要な影響を与えるか。
  2. そのシステムに対し、誰が、どの権限で、いつ、どのようにアクセスできるか。
  3. プログラム、設定、マスタ、インターフェース、帳票ロジックの変更は、承認・テスト・移行・記録の統制を経ているか。
  4. 日次・月次・年次処理、バックアップ、障害対応、ログ監視、脆弱性対応は、継続的に運用されているか。
  5. クラウド、SaaS、外部委託先、再委託先に対し、契約、監査報告書、SLA、インシデント通知、アクセス管理、データ返還・削除を通じて統制が及んでいるか。
  6. 評価者は、整備状況と運用状況を証拠に基づいて検証し、不備を重要性に応じて分類し、是正状況を経営者・監査役等・監査人に報告しているか。
留意点このページは一般的な制度・実務の整理です。実際の内部統制報告制度対応、監査対応、インシデント対応、委託契約交渉、開示判断は、事実関係と適用法令により結論が変わる可能性があります。具体的な対応は、資料を整理したうえで弁護士、公認会計士、監査法人、情報セキュリティ専門家等へ相談する必要があります。
Section 01

ITGC(IT全般統制)の定義と整備・評価の違い

IT統制の全体像を、業務処理統制との関係、整備状況評価と運用状況評価の違いから整理します。

内部統制とは、企業の業務を適正に遂行するために組織内で整備・運用される仕組みです。財務報告に係る内部統制では、業務の有効性及び効率性、報告の信頼性、法令等の遵守、資産の保全が目的として整理され、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応が基本的要素となります。

次の比較表は、ITGCと業務処理統制の役割の違いを表しています。両者を分けて理解することは、どの不備が個別処理の問題で、どの不備がシステム環境全体の信頼性に関わる問題かを判断するために重要です。列の「意味」と「例」を見比べ、個別機能を支える前提統制がITGCである点を読み取ってください。

区分意味
ITGC(IT全般統制)業務処理統制が有効に機能する環境を保証する統制です。アクセス管理、変更管理、システム運用管理、バックアップ、外部委託管理、セキュリティ管理
業務処理統制個別業務または個別アプリケーションに組み込まれた統制です。売上承認、与信限度チェック、三点照合、入力制限、自動計算、例外レポート、インターフェース照合

たとえば、販売管理システムに「受注承認がない限り出荷できない」という機能がある場合、その機能自体は業務処理統制です。しかし、承認機能を無断で変更できる、承認権限を誰でも取得できる、テストされていないプログラムが本番環境へ移行される、障害時にデータが失われる状態では、その業務処理統制は信頼できません。

ITGC(IT全般統制)の整備とは、リスクに対応する統制を設計し、規程、手続、権限、システム設定、運用手順、証跡保存方法として実装することです。規程を作るだけでは足りず、承認権限、ログ、チケット、委託契約、教育、責任分担、例外処理、証拠保全までが一体として機能する必要があります。

次の比較表は、整備状況評価と運用状況評価の違いを表しています。評価の目的が混同されると、規程の有無だけを確認して実際の運用証拠を見落とすおそれがあるため重要です。主な問いと典型的な証拠を確認し、設計の妥当性と期間中の実施事実を分けて読み取ってください。

評価区分主な問い典型的な証拠
整備状況の評価その統制は、想定リスクを低減するように設計されているか。規程、業務の流れ、権限表、職務分掌表、契約書、システム設定、統制記述書
運用状況の評価その統制は、対象期間中、実際に運用されていたか。申請・承認記録、チケット、ログ、レビュー記録、テスト結果、議事録、監査証跡
Section 02

ITGC(IT全般統制)が企業法務で重要になる理由

財務報告、会社法、個人情報保護、紛争対応をつなぐ論点として、ITGCを企業法務の視点から確認します。

ITGCは、上場会社等のJ-SOX対応だけでなく、会社法上の内部統制システム、個人情報保護、営業秘密管理、訴訟・不祥事調査にも関係します。重要な会計データ、契約データ、個人データ、取締役会資料、稟議記録、電子メール、ログ、監査証跡が適切に保存・管理されていない場合、情報管理体制やリスク管理体制の不備として問題となり得ます。

次の比較一覧は、ITGCが企業法務で問題になる主要場面を表しています。単一の監査手続ではなく、複数の法務リスクに同じ統制が影響するため重要です。各項目から、アクセス権限、ログ、バックアップ、委託先監督がどの法務論点につながるかを読み取ってください。

J-SOX

財務報告の信頼性

会計システム、販売管理、購買、在庫、原価計算、連結決算、BI、RPAなどが財務報告に影響する場合、誰が権限を持ち、何を変更し、どのログが残るかを証拠で説明する必要があります。

Company Law

取締役会の監督

重要情報の保存・管理、損失危険の管理、企業集団管理、事業継続は、会社法上の内部統制システムと密接に関係します。

Privacy

個人情報保護

アクセス制御、ログ管理、委託先管理、退職者ID削除、暗号化、バックアップ、漏えい対応は、個人データの安全管理に直結します。

Evidence

紛争・不祥事調査

電子データが真正に作成・保存され、誰がアクセスし、誰が変更し、どの時点で承認されたかを説明できることは、契約紛争や不正調査で重要です。

ランサムウェアで基幹システムが停止し、バックアップ復旧ができない場合、それは単なるIT障害ではありません。事業継続、取締役会監督、顧客対応、開示、損害賠償、行政対応に及ぶ法務問題となります。

重要ログが保存されていない、権限が共有されている、証跡が後から改ざん可能である、システム変更履歴が不明である、バックアップが検証されていない状態では、企業は事実認定の局面で不利になる可能性があります。
Section 03

ITGC(IT全般統制)の参照基準と使い分け

内部統制基準、COSO、COBIT、ISO/IEC 27001、NIST CSF、サイバーセキュリティ経営ガイドラインを目的別に位置づけます。

ITGC(IT全般統制)の整備と評価では、単一の基準だけを機械的に適用するのではなく、目的に応じて複数の基準や枠組みを使い分けることが重要です。財務報告、ITガバナンス、情報セキュリティ、サイバーリスク、経営監督では、同じ統制を別の角度から説明する必要があります。

次の一覧は、ITGCで参照される主要な基準や枠組みを表しています。どの枠組みを何のために使うかを分けることは、監査対応、取締役会説明、セキュリティ施策の優先順位をそろえるために重要です。各項目では、財務報告、経営監督、セキュリティ、委託先管理のどこに効くかを読み取ってください。

01

日本の内部統制基準・実施基準

財務報告に係る内部統制の整備・評価・監査の中核です。IT統制の目的として、準拠性、信頼性、可用性、機密性を整理します。

J-SOX
02

COSO

統制環境、リスク評価、統制活動、情報と伝達、モニタリングの観点で、ITGCを経営者の統制活動として説明しやすくします。

統制設計
03

COBIT

企業ITのガバナンスとマネジメントを扱い、取締役会、経営者、CIO、CISO、内部監査、法務が共通言語を持つ際に有用です。

ITガバナンス
04

ISO/IEC 27001

ISMSの要求事項を定める国際規格です。アクセス管理、ログ、委託先管理、バックアップ、インシデント管理などでITGCと重なります。

情報セキュリティ
05

NIST Cybersecurity Framework 2.0

Govern、Identify、Protect、Detect、Respond、Recoverにより、資産把握、保護、検知、対応、復旧を整理できます。

サイバーリスク
06

サイバーセキュリティ経営ガイドライン

サイバーリスクを経営リスクとして捉え、テレワーク、クラウド、ランサムウェア、サプライチェーン攻撃への対応を経営課題として扱います。

経営監督
Section 04

ITGC(IT全般統制)の対象範囲をリスクベースで決める

すべてのシステムを同じ深さで評価するのではなく、財務報告、個人情報、営業秘密、事業継続への影響で対象範囲を定めます。

ITGCの評価範囲は、すべてのシステムを同じ深さで確認することではありません。重要なのは、財務諸表の数値、会計データ連携、重要マスタ、個人情報、営業秘密、契約、稟議、電子署名、取締役会資料、事業継続、クラウド・SaaS・外部委託先への依存度を踏まえ、リスクベースで対象範囲を決定することです。

次の一覧は、ITGCの対象候補となるシステムやデータを表しています。範囲設定の漏れは、重要なSaaS、Excelマクロ、RPA、データ連携、委託先運用、管理者権限、帳票ロジックを評価外にしてしまうため重要です。各項目から、財務報告だけでなく法令遵守・事業継続・情報管理に影響する対象を読み取ってください。

財務諸表に影響するシステム

売上、原価、在庫、購買、支払、固定資産、人件費、税金、連結決算に関わるシステムです。

会計システムに連携する周辺領域

販売管理、購買管理、ワークシート、RPA、データ分析基盤など、会計データに接続する領域です。

重要情報を保持するシステム

個人情報、営業秘密、知的財産、顧客情報、契約、稟議、電子署名、取締役会資料を扱うシステムです。

事業継続に影響するシステム

障害時に受注、請求、出荷、顧客対応、決算、開示へ重大な影響を与える基盤です。

外部サービスに依存するシステム

クラウド、SaaS、運用ベンダー、BPOなど、社外の管理者権限や再委託が関与する領域です。

次の比較表は、システムを評価するときに確認すべき技術レイヤーと主な統制論点を表しています。アプリケーション名だけで範囲を決めると、データベース、ID基盤、ネットワーク、開発・運用基盤、委託先の重要リスクを見落とすため重要です。各行から、どの階層で誰の権限・変更・ログ・契約を確認すべきかを読み取ってください。

レイヤー主な統制論点
業務アプリケーションERP、販売管理、購買、在庫、人事給与、連結決算業務権限、マスタ管理、承認、帳票、インターフェース
データベースRDB、DWH、データレイクDB管理者権限、直接更新、バックアップ、ログ
OS・サーバーWindows、Linux、仮想基盤管理者権限、パッチ、ジョブ、監視
ネットワークVPN、FW、WAF、DNS、負荷分散接続制御、ログ、設定変更、セグメンテーション
ID基盤Active Directory、IdP、SSO、MFAアカウント発行・変更・削除、認証、特権管理
開発・運用基盤Git、CI/CD、チケット、構成管理ソース変更、承認、テスト、リリース
クラウドIaaS、PaaS、SaaS共有責任モデル、管理者権限、設定、監査報告書
委託先運用ベンダー、クラウド事業者、BPO契約、SLA、再委託、監査権、事故通知

固定的なローテーション評価には注意が必要です。クラウド化、SaaS利用、システム刷新、M&A、アウトソーシング、サイバー攻撃、リモートアクセス、生成AI利用、RPA導入によりIT環境は変化します。評価範囲は毎年のリスク評価に基づき、重要な変更、障害、不正、インシデント、組織再編、委託先変更、監査指摘を反映して見直す必要があります。

Section 05

ITGC(IT全般統制)の整備プロセス

ガバナンス体制、システム棚卸し、リスク評価、RCM、証跡設計を順に整えます。

ITGCの整備は、情報システム部門だけで完結しません。取締役会、CEO、CFO、CIO、CISO、法務、コンプライアンス、個人情報保護、内部統制、内部監査、外部監査人、外部専門家が、それぞれの役割に応じて関与する必要があります。

次の時系列は、ITGCを整備するときの基本的な順番を表しています。順番が重要なのは、責任者や対象範囲が曖昧なまま統制だけを作っても、証跡が評価に耐えず、是正責任も不明確になるためです。上から下へ、体制、棚卸し、リスク、統制設計、証跡の順で積み上げる点を読み取ってください。

Step 1

ガバナンス体制を定義する

経営、経理、IT、セキュリティ、法務、内部監査、監査人の責任範囲と承認経路を明確にします。

Step 2

システム棚卸しとデータの流れを作成する

システム名、オーナー、利用部門、処理データ、財務報告への影響、委託先、管理者権限、変更管理、バックアップ、復旧目標を整理します。

Step 3

リスク評価を行う

財務報告、法令遵守、業務継続、情報セキュリティ、契約、訴訟、レピュテーションの観点でリスクを分類します。

Step 4

統制設計書・RCMを作成する

リスク、統制、責任者、頻度、証拠、評価手続、不備時対応を対応付けます。

Step 5

証跡設計を行う

証跡の形式、保存場所、保存期間、改ざん防止、閲覧権限、バックアップを定めます。

次の比較表は、ITGC整備に関与する主な役割と責任を表しています。IT部門任せを避けることは、財務報告、個人情報、契約、開示、監査を横断して統制を機能させるために重要です。各役割がどの責任を負うかを読み取り、承認者と実施者を分けて設計してください。

役割主な責任
取締役会・監査役等重要リスク、内部統制システム、サイバーリスク、是正計画の監督
代表取締役・CEO全社的リスク管理、内部統制整備の最終責任
CFO・経理部門財務報告リスク、決算プロセス、会計システムの統制責任
CIO・情報システム部門システム運用、変更管理、アクセス管理、ITサービス管理
CISO・セキュリティ部門セキュリティポリシー、監視、脆弱性、インシデント対応
法務・コンプライアンス契約、委託先管理、規程、法令遵守、証拠保全、開示判断、教育、内部通報、是正管理
個人情報保護担当個人データの安全管理、委託先監督、漏えい対応
内部統制・内部監査J-SOX評価、統制文書、評価手続、独立的評価、改善提言
外部監査人・外部専門家財務報告に係る内部統制監査、高度な法務、フォレンジック、セキュリティ助言

次の比較表は、RCMでリスクと統制をどう対応付けるかを表しています。RCMは監査対応の書類にとどまらず、実施者、頻度、証拠、評価手続、是正方法を明確にするために重要です。退職者IDの例から、統制目的と証拠が対応しているかを読み取ってください。

項目記載例
リスク退職者IDが残存し、不正アクセスやデータ改ざんが発生する。
統制目的不要なアクセス権限を速やかに削除する。
統制内容人事退職者リストとシステムアカウント一覧を月次照合し、退職者IDの削除を確認する。
責任者・頻度情報システム部門ID管理責任者が月次で実施する。
証拠退職者リスト、アカウント一覧、照合結果、削除チケット、承認記録
評価手続対象月を抽出し、照合・削除・承認が期限内に完了しているか確認する。
不備時対応残存IDの即時停止、影響調査、原因分析、再発防止

証跡設計は法務上も重要です。後日、訴訟、当局調査、監査、内部通報調査、データ漏えい調査が発生した場合、証跡が散在し、保存期間が短く、改ざん可能で、権限が曖昧であれば、企業の説明可能性が低下します。

  • アクセス申請、承認履歴、チケット履歴、本番移行記録、テスト結果、リリース判定議事録
  • アカウント棚卸し結果、特権ID利用ログ、バックアップ実行ログ、復旧テスト結果
  • インシデント管理票、委託先監査報告書、SLAレポート、SOC報告書、取締役会・リスク委員会報告資料
Section 06

ITGC(IT全般統制)の主要統制領域

アクセス管理、変更管理、運用管理、セキュリティ・ログ管理、外部委託・クラウド管理を確認します。

ITGCの主要統制領域は、業務処理統制を信頼できる状態に保つための土台です。アクセス管理、変更管理、運用管理、セキュリティ・ログ管理、外部委託・クラウド管理のどれかが弱いと、個別の自動統制や承認機能の信頼性が揺らぎます。

次の一覧は、ITGCで特に確認すべき5つの統制領域を表しています。領域ごとの目的を分けることは、評価手続や証跡の集め方を誤らないために重要です。各項目から、誰の権限、どの変更、どの処理、どのログ、どの委託先を確認すべきかを読み取ってください。

Access

アクセス管理

誰が、どのシステムに、どの権限で、いつからいつまでアクセスできるかを統制します。

Change

変更管理・開発管理

プログラム、設定、マスタ、帳票、パラメータ、クラウド設定の変更を、承認、テスト、本番移行、記録で統制します。

Operation

システム運用管理

日常処理、ジョブ、バッチ、インターフェース、バックアップ、障害対応、監視、パッチ適用を対象にします。

Security

セキュリティ・ログ管理

アクセス管理、脆弱性対応、ログ監視、インシデント対応、バックアップ、証拠保全を内部統制と接続します。

Vendor

外部委託・クラウド管理

契約、SLA、再委託、監査報告書、事故通知、データ返還・削除を通じて統制を及ぼします。

アクセス管理

アクセス管理では、業務上の必要性と権限者の承認に基づくアカウント発行、異動・休職・出向・退職に応じた権限変更・削除、退職者ID・長期未使用ID・共有ID・テストID・初期IDの定期確認、特権IDの申請・承認・利用ログ・事後レビュー、職務分掌違反の防止、多要素認証、委託先アクセスの期限・目的・ログ・接続経路管理、業務オーナーによる定期レビューを確認します。

典型的な不備として、退職者IDが残っている、管理者権限を複数人で共有している、業務部門の承認なしにIT部門が権限を付与している、付与権限と職務内容の対応関係が不明である、特権IDの利用ログを確認していない、委託先IDが常時有効で利用目的が記録されていない、アクセス権レビューが形骸化している、といったものがあります。

変更管理・システム開発管理

変更管理では、変更要求の目的、影響範囲、リスク、期限を明記し、業務オーナー、IT責任者、必要に応じて法務・会計・セキュリティが承認します。開発環境、テスト環境、本番環境を分離し、テスト結果とユーザー受入テストを記録し、承認された変更のみを本番移行します。緊急変更では、事後承認・事後レビュー、変更履歴保存、ロールバック手順が重要です。

本番環境を直接修正している、口頭承認だけで変更している、テスト証跡が残っていない、緊急変更が常態化している、業務部門が変更内容を理解しないまま承認している、開発者が本番移行権限を持つ、SaaS設定変更が評価対象外になっている場合には、財務数値の誤り、サービス障害、個人データの誤送信、規制違反、SLA違反、顧客損害、知財侵害に発展し得ます。

システム運用管理

システム運用管理では、日次・月次・年次ジョブのスケジュールと実行結果、インターフェース処理の件数・金額・エラー、バックアップ取得と復旧テスト、障害・インシデントの受付・分類・原因分析・対応・再発防止、パッチ・脆弱性・マルウェア対策、時刻同期、容量・性能・可用性監視、手順書整備を確認します。

バックアップは取得しているが復旧テストをしていない、バッチエラーがメール通知だけで対応記録がない、インターフェース処理の欠落を業務部門が検知できない、障害管理票に原因分析や再発防止がない、パッチ適用判断の基準がない、夜間・休日の障害対応体制が不明、ランサムウェア感染時の復旧順序が決まっていない状態は、運用統制上の重要な兆候です。

セキュリティ管理・ログ管理

重要システムのログ取得範囲、保存期間、閲覧権限、管理者操作、権限変更、重要マスタ変更、設定変更、ログイン失敗の監視、ログの改ざん防止、時刻同期、集中管理、脆弱性診断、パッチ管理、構成管理、エンドポイント保護、ネットワーク分離、メール対策、EDR、SIEM、インシデント対応手順、連絡体制、証拠保全、暗号化、鍵管理、データ持出制御を確認します。

ログは、監査証跡であると同時に、訴訟・調査・当局対応で重要な証拠となります。ログ保存期間が短すぎる場合、侵害発見後に原因や影響範囲を特定できないおそれがあります。ログに個人情報が含まれる場合、利用目的、アクセス権限、保存期間、委託先管理も検討する必要があります。

外部委託・クラウド管理

外部委託とクラウド利用では、委託業務の範囲、サービス水準、稼働率、復旧目標、セキュリティ要件、アクセス権限、管理者操作、再委託、個人情報・機密情報、監査権・報告権、SOC報告書等、事故通知期限、障害時の協力、データ返還・削除、契約終了時の移行支援、損害賠償、責任制限、免責、準拠法、裁判管轄、越境移転を確認します。

SOC 1、SOC 2、ISAE 3402等の報告書を利用する場合、対象期間、対象サービス、対象統制、除外事項、補完的ユーザー企業統制、例外事項、監査人の意見、サブサービス組織の取扱いを確認する必要があります。特に、SaaS事業者側の統制が有効でも、利用企業側が管理者IDを共有し、退職者IDを削除せず、権限レビューをしていなければ、全体として統制は有効とはいえません。

Section 07

ITGC(IT全般統制)の評価方法

評価計画、整備状況評価、運用状況評価、サンプリング、不備評価、是正管理を証拠ベースで進めます。

ITGC評価は、年度末に急いで証跡を集める作業ではありません。評価対象期間、対象システム、対象統制、サンプル方針、評価者、スケジュール、監査人との協議、是正期限を事前に定める必要があります。

次の判断の流れは、ITGC評価を計画から是正まで進める順番を表しています。各段階を分けることは、質問だけで評価を終えたり、不備を発見しても重要性評価やフォローアップをしなかったりする事態を防ぐために重要です。上から下へ、計画、設計、運用、影響、是正の順に証拠を積み上げる点を読み取ってください。

ITGC評価の判断の流れ

評価計画を策定

目的、期間、対象会社、対象部門、対象システム、対象領域、手続、サンプル方針、証跡期限、担当者、不備判定基準を定めます。

整備状況を確認

リスク、統制目的、実施者、承認者、頻度、証拠、職務分掌、例外処理、委託先範囲、エスカレーションを確認します。

運用状況を検証

質問、観察、文書閲覧、再実施、ログ確認、システム設定確認により、対象期間中の実施事実を検証します。

不備の影響を評価

単発か反復か、影響システム、財務報告、法令違反、契約違反、事業停止、代替統制、既発生事象を確認します。

重要性が高い
経営・監査へ報告

暫定対応、恒久対応、期限、責任者、残存リスクを明確にします。

限定的
是正と再評価

原因分析、効果確認、翌年度計画への反映を管理します。

次の比較表は、運用状況評価で用いられる評価手続を表しています。質問だけでは十分な証拠になりにくいため、どの手続でどの証拠を見るかを分けることが重要です。内容と例を見比べ、証跡に基づく検証が必要な領域を読み取ってください。

評価手続内容
質問担当者に手続を確認する。ID削除手順をIT担当者に確認する。
観察実際の作業を観察する。管理者権限付与手続を確認する。
文書閲覧証跡を確認する。承認履歴、チケット、ログを確認する。
再実施評価者が手続を再計算・再照合する。退職者リストとアカウント一覧を照合する。
システム確認設定や一覧を直接確認する。権限設定、MFA設定、ログ保存設定を確認する。

次の比較表は、統制頻度に応じたサンプル抽出の考え方を表しています。頻度と母集団を意識しない抽出は、評価結果の説明可能性を弱めるため重要です。年次、四半期、月次、日次、発生都度で、確認すべき母集団と抽出方針が異なる点を読み取ってください。

統制頻度サンプルの考え方
年次原則として実施事実を確認します。
四半期複数回分を確認します。
月次一定数の月を抽出します。
週次・日次母集団からリスクに応じて抽出します。
発生都度変更、権限付与、障害等の母集団から抽出します。

不備は、整備上の不備と運用上の不備に分けて評価します。整備上の不備は統制そのものが存在しない、または設計が不十分な場合です。運用上の不備は、統制は設計されているが実際には実施されていない、証跡がない、承認が遅れている、レビューが形骸化している場合です。

次の比較表は、不備を発見した後の是正管理に必要な項目を表しています。改善予定だけでは統制不備の管理として不足しやすいため、原因、暫定対応、恒久対応、期限、効果確認、報告先まで明確にすることが重要です。各項目から、責任者と期限を伴うフォローアップの形を読み取ってください。

項目記載例
不備内容退職者ID削除が退職後30日以上遅延した。
影響範囲会計システム、販売管理システム
根本原因人事退職情報とID管理チケットが連携されていない。
暫定対応残存IDを即時停止し、ログを確認する。
恒久対応人事システムとID管理の月次照合を導入する。
責任者・期限情報システム部長が2026年7月末までに対応する。
効果確認8月・9月の退職者ID削除状況を再評価する。
報告先CFO、CIO、内部統制委員会、監査役会
Section 09

ITGC(IT全般統制)の実務チェックリスト

ガバナンス、範囲設定、アクセス、変更管理、運用、セキュリティ、委託先、クラウド、証跡、評価、不備管理、法務連携を確認します。

以下は、ITGC(IT全般統制)の整備と評価で確認すべき代表的項目です。実際には、企業規模、業種、システム構成、上場状況、規制環境、委託先利用状況に応じて調整します。

次の比較表は、領域ごとのチェック項目と主な証拠を表しています。チェック項目だけを満たしたつもりでも、証拠が残らなければ評価や監査で説明しにくくなるため重要です。各行では、統制の有無だけでなく、どの資料・ログ・記録で確認するかを読み取ってください。

領域チェック項目主な証拠
ガバナンスITGCの責任者と承認者が明確か。RACI、規程、委員会議事録
ガバナンス取締役会・経営会議に重要ITリスクが報告されているか。報告資料、議事録
範囲設定重要システムの棚卸しがあるか。システム一覧、データの流れ
範囲設定財務報告・個人情報・営業秘密への影響を評価しているか。リスク評価表
アクセスアカウント発行は承認に基づくか。申請書、承認ログ
アクセス退職者IDは速やかに削除されるか。退職者リスト、削除記録
アクセス定期的なアクセス権レビューを実施しているか。レビュー一覧、承認記録
アクセス特権IDの利用は申請・承認・ログ確認されるか。特権ID利用記録
アクセス職務分掌違反を検出しているか。SoD一覧、例外承認
変更管理変更要求はチケット化されているか。変更チケット
変更管理変更は業務オーナー・IT責任者が承認しているか。承認記録
変更管理テストとユーザー受入が記録されているか。テスト結果、UAT記録
変更管理本番移行は承認済み変更に限定されるか。リリース記録
変更管理緊急変更の事後レビューがあるか。緊急変更記録
運用ジョブ・バッチの実行結果を確認しているか。ジョブログ、確認記録
運用インターフェースの件数・金額を照合しているか。照合表、エラー記録
運用バックアップを取得し、復旧テストを実施しているか。バックアップログ、復旧テスト
運用障害管理と原因分析を実施しているか。障害管理票
セキュリティ重要ログの取得・保存・レビューがあるか。ログ設定、レビュー記録
セキュリティパッチ・脆弱性対応の基準があるか。パッチ管理表
セキュリティインシデント対応手順があるか。IR手順書、訓練記録
委託先委託契約にセキュリティ・監査・事故通知条項があるか。契約書、DPA
委託先SOC報告書等をレビューしているか。レビュー記録
委託先再委託先を把握しているか。再委託一覧
クラウド共有責任モデルを理解し、利用者側統制を実施しているか。クラウド設定、統制一覧
証跡統制証跡の保存場所・保存期間が明確か。文書管理規程
評価整備状況評価と運用状況評価を区別しているか。評価調書
不備管理不備の重要性評価と是正計画があるか。不備管理表
法務連携個人情報、契約、訴訟、開示への影響を検討しているか。法務レビュー記録
継続改善過年度指摘、事故、環境変化を翌年度計画に反映しているか。改善計画、評価計画
Section 10

ITGC(IT全般統制)でよくある失敗と改善策

規程と実務の不一致、IT部門任せ、SaaS漏れ、復旧不能、証跡不足、不備評価不足を避けます。

ITGCでよくある失敗は、統制が存在しないことだけではありません。規程はあるが運用されていない、業務部門が関与していない、SaaSを評価対象外にしている、バックアップが復旧できない、証跡が評価に耐えない、不備の重要性を評価していない、といった形で表れます。

次の一覧は、ITGC評価で発見されやすい失敗と改善の方向性を表しています。失敗のパターンを先に知ることは、形式的な規程整備で止まらず、実際に評価・監査・事故対応に耐える統制へ改善するために重要です。各項目から、何を仕組みに変えるべきかを読み取ってください。

規程はあるが運用されていない

チャット依頼で権限付与され、承認証跡が残らない状態です。規程、承認経路、システム設定、証跡保存を一致させます。

IT部門任せで業務部門が関与しない

売上承認権限や帳票ロジックの妥当性は業務部門・経理部門が判断します。権限レビュー、変更承認、UAT、例外承認に業務オーナーを参加させます。

SaaSを評価対象外にしている

請求、契約、顧客管理、経費精算、電子署名、勤怠、給与、会計連携に使うSaaSは重要統制対象になり得ます。

バックアップを取っているが復旧できない

復旧テストを定期的に行い、復旧対象、復旧時間、復旧順序、依存システム、権限者、連絡体制を確認します。

証跡が評価に耐えない

実施したが証跡がない、メールが削除された、ログ保存期間が過ぎた状態を避けるため、統制設計の段階で証跡を定義します。

不備を発見しても重要性を評価しない

財務報告、個人情報、業務継続、契約、開示、訴訟への影響を評価し、是正優先度を決めます。

Section 11

ITGC(IT全般統制)の段階的整備モデル

中小企業・IPO準備企業では、30日、90日、180日、年次の順で成熟度を高めます。

すべての企業が最初から大企業並みの統制を構築できるわけではありません。重要なのは、リスクに応じて段階的に成熟度を高めることです。

次の時系列は、中小企業・IPO準備企業がITGCを段階的に整えるための目安を表しています。期限ごとに優先順位を分けることは、短期間で全領域を完璧にしようとして進まなくなる状態を避けるために重要です。30日で棚卸し、90日で標準化、180日で評価試行、年次で継続改善という順番を読み取ってください。

30日

重要システムの初期把握

会計、販売、購買、在庫、給与、契約、個人情報システムを特定し、管理者権限、退職者ID、共有ID、不要ID、重大障害、委託先、バックアップ取得状況を確認します。

90日

権限・変更・復旧の標準化

アクセス権限付与・変更・削除手続、特権ID利用記録、変更管理チケット、本番直接修正の禁止または例外管理、月次アクセス権レビュー、復旧テスト、主要委託契約確認、RCM作成を進めます。

180日

評価試行と是正管理

評価対象システムの整備状況評価、主要統制の運用状況評価、不備管理表、取締役会または経営会議への重要リスク報告、内部監査または外部専門家レビュー、SOC報告書等のレビュー、インシデント対応訓練を実施します。

年次

継続改善

システム棚卸しとリスク評価を更新し、重要変更、M&A、組織変更、委託先変更を評価範囲へ反映し、評価計画、整備状況・運用状況評価、不備是正、監査役等・内部監査・外部監査人との協議、取締役会報告を継続します。

Section 12

ITGC(IT全般統制)に関与する専門職別ポイント

弁護士、公認会計士、内部監査、法務、CISO、個人情報保護、フォレンジックの役割を整理します。

ITGCは、会計監査、法務、セキュリティ、個人情報保護、内部監査、経営監督が交差する領域です。専門職ごとに関心が異なるため、同じ統制でも何を証拠として見るか、どのリスクを重視するかを明確にする必要があります。

次の一覧は、専門職別の関与ポイントを表しています。横断的な連携が不足すると、契約条項は整っているがログが残らない、技術対策はあるが取締役会へ報告されない、といった分断が生じるため重要です。各項目から、誰がどの観点でITGCを補強するかを読み取ってください。

弁護士・企業内弁護士・外部弁護士

委託契約、個人情報保護、営業秘密、データ漏えい、開示、取締役責任、訴訟証拠、不祥事調査、M&AデューデリジェンスでITGCを確認します。

契約・証拠

公認会計士・監査法人

財務報告に係る内部統制の観点から、ITGCが自動化された会計処理、インターフェース、帳票、マスタ、決算システムに与える影響を評価します。

財務報告

内部監査担当

規程の存在だけでなく、実際の運用、証跡、例外、是正状況、部門間連携、取締役会報告を独立的に確認します。

独立評価

法務・コンプライアンス担当

契約、規程、委託先、個人情報、内部通報、証拠保全、当局対応、社内教育において、ITGC不備が生む法的問題を整理します。

社内連携

CISO・情報システム部門

技術的統制を設計・運用しつつ、承認、証跡、職務分掌、評価可能性、法務・監査への説明可能性を確保します。

技術統制

個人情報保護担当

安全管理措置、委託先監督、漏えい対応、本人通知、越境移転、プライバシーポリシーの観点から確認します。

個人データ

デジタルフォレンジック専門家

平時からログ保存、時刻同期、アクセス管理、証跡保全、端末管理、クラウドログ取得可能性について助言できます。

調査対応
Section 13

ITGC(IT全般統制)を取締役会へ報告する要約例

技術的な説明だけでなく、事業影響、財務報告影響、法令遵守影響、是正期限を明確にします。

取締役会へITGCを報告する場合は、基幹システムやSaaSへの依存、アクセス管理、変更管理、バックアップ、外部委託管理の不備が、財務報告の誤り、個人情報漏えい、業務停止、契約違反、監査上の指摘につながる可能性を簡潔に示す必要があります。

要約例当社の財務報告、顧客情報管理、契約管理、決算処理は複数の基幹システムおよびSaaSに依存しています。これらのシステムに対するアクセス管理、変更管理、システム運用管理、バックアップ、外部委託管理が有効に機能しない場合、財務報告の誤り、個人情報漏えい、業務停止、契約違反、監査上の指摘が発生する可能性があります。

報告では、重要システムを棚卸しし、財務報告および個人情報保護への影響が高いシステムをITGC評価対象としたこと、評価結果として退職者ID削除の遅延、緊急変更の事後レビュー不足、委託先SOC報告書レビュー未実施などが検出されたこと、現時点で財務報告への具体的な虚偽表示が確認されていない場合でも統制不備として是正を進めることを説明します。

是正策としては、月次退職者ID照合、緊急変更レビュー会議、委託先監査報告書レビュー手続の導入、是正完了後の運用状況再評価、監査役会および取締役会への報告を明示する構成が有効です。

Section 14

ITGC(IT全般統制)の整備と評価は経営統制の基盤

ITGCを、企業が自社の重要な情報、取引、記録、判断、報告を信頼できると説明するための統治技術として位置づけます。

ITGC(IT全般統制)の整備と評価は、会計監査対応だけの作業ではありません。企業がITに依存して事業を営む以上、ITGCは、財務報告、会社法上の内部統制システム、個人情報保護、契約責任、委託先管理、サイバーセキュリティ、訴訟証拠、M&A、IPO、取締役会監督を支える基盤です。

次の重要ポイントは、ITGCの本質を確認するためのまとめです。個別のチェック項目に分解しすぎると全体像を見失いやすいため、統制の目的と経営上の意味を最後に確認することが重要です。各項目から、ITGCが「誰が、何を、いつ、どのように管理し、どの証拠で説明するか」を支える仕組みである点を読み取ってください。

ITGCは説明責任を支える仕組みです

適切なITGCは、企業の透明性、説明責任、法令遵守、事業継続、企業価値を支えます。軽視すれば、不正、誤謬、漏えい、障害、紛争が発生した際に、何が起きたか、誰が関与したか、なぜ防げなかったかを説明できなくなります。

  • ITGCは、業務処理統制を信頼するための環境統制です。
  • ITGCは、アクセス管理、変更管理、運用管理、セキュリティ、委託先管理、証跡管理を含みます。
  • ITGCの整備では、リスク、責任者、統制内容、証拠、例外処理、契約、報告経路を明確にします。
  • ITGCの評価では、整備状況と運用状況を分け、証拠に基づいて検証します。
  • ITGCの不備は、財務報告上の虚偽表示リスクだけでなく、法令違反、個人情報漏えい、訴訟上の不利益、取締役会監督不全に発展し得ます。
  • クラウド、SaaS、外部委託、RPA、データ分析基盤、生成AI利用の拡大により、ITGCの評価範囲は毎年見直す必要があります。
  • 法務、会計、内部監査、情報システム、セキュリティ、個人情報保護、経営陣が共通言語を持つことが、実効的なITGCの前提です。
Reference

参考文献・主要情報源

ITGC、内部統制、会社法、個人情報保護、情報セキュリティ、サイバーリスクに関する主要資料を整理します。

公的機関・法令・制度資料

  • 金融庁・企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」
  • 金融商品取引法第24条の4の4
  • 会社法第362条
  • 会社法施行規則第100条
  • 個人情報保護委員会「漏えい等の報告・本人通知」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」
  • 経済産業省・独立行政法人情報処理推進機構「サイバーセキュリティ経営ガイドライン Ver 3.0」

国際的な基準・枠組み

  • COSO, Internal Control Integrated Framework
  • ISACA, COBIT
  • ISO/IEC 27001 Information security management systems
  • NIST Cybersecurity Framework 2.0