COLUMN
コラム
IT業務処理統制(ITAC)とは?5つの構成要素や具体例を紹介
執筆者:茅原淳一(Junichi Kayahara)
『資金調達の手引き』
調達ノウハウを徹底解説
資金調達を進めたい経営者の方の
よくある疑問を解決します!
IT技術を活用していない企業の方が少なくなっている昨今、IT技術の使用方法を誤ってしまった場合、顧客企業や一般ユーザーの個人情報が流出するなどのリスクをはらんでいます。
そういった状況を受け、内部統制を推進する中でも企業内部のIT統制を欠かすことはできません。
不可欠なIT統制の中でも、具体的に企業内部のIT処理の手続きや手順のルールを定めた、IT業務処理統制という決まりがあります。
IT業務処理統制の構築が甘い場合、的確にITツールを使いこなすことが出来ないほど重要度が高いため、
・IT業務処理統制の正しい定義
・IT業務処理統制の構成要素
・企業にIT業務処理統制を構築する方法
などの基本情報について、本記事で詳しく解説していきます。
IT統制については、こちらの記事もご参照ください。
⇒【わかりやすく解説】IT統制とは?目的と社内への設計方法を紹介
⇒IT業務処理統制(ITAC)とは?5つの構成要素や具体例を紹介
⇒IT全般統制とは?成功のポイントと全社統計との違いや構成要素を徹底解説
目次
IT業務処理統制とは
IT業務処理統制とは、内部統制に含まれるIT統制の一部で、業務を管理するシステムにおいて承認された業務がすべて正確に処理・記録されることを担保するために業務プロセスに組み込まれた仕組みを指します。
※出典:金融庁「財務報告に係る内部統制の評価及び監査の基準」
簡単に言えば、ITを使用する業務が正確に処理されて記録されるための業務運用のルールということになります。
本項では、IT業務処理統制の概要について詳しく見ていきましょう。
内部統制に含まれるIT統制の一部
IT業務処理統制は「Information Technology Application Control」の略で、ITを用いた業務運営を的確に行うための仕組みを指します。
前提として、金融庁は企業に対して「財務報告の信頼性」を担保するために内部統制を求めており、以下の6つの要素に対応するよう求めています。
・統制環境
・リスクの評価と対応
・統制活動
・情報と伝達
・モニタリング(監視活動)
・IT(情報技術)への対応
このうち「IT(情報技術)への対応」がいわゆるIT統制を指しており、このIT統制を達成するために欠かせないのが、ITを用いた具体的な業務運営のルールである「IT業務処理統制」です。
※IT統制とは、ITに関するリスクを管理してリスクを適切にコントロールすること。
つまり、IT業務処理統制とは、内部統制に含まれるIT統制を達成するための1つの要素ということになります。
金融庁による定義
金融庁は、IT業務処理統制について次のように定義しています。
『IT業務処理統制とは、業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを担保するために業務プロセスに組み込まれたITに係る内部統制のことである。』
※出典:金融庁「財務報告に係る内部統制の評価及び監査の基準」
業務が的確に処理され、情報も適切に記録されることを担保するための業務プロセスがIT業務処理統制だと定義付けています。
つまり、ITツールを社内で適切に使用するためのルールと言えるでしょう。
IT業務処理統制の5つの要素
IT業務処理統制は次の5つの要素で構成されています。
・入力管理
・データ管理
・出力管理
・スプレッドシート等
・リスク管理
IT業務処理統制がどのような内訳で構成されるのかについて、以下にて順に詳しく解説していきます。
入力管理
IT業務を適切に行うために欠かせない1つ目の要素が入力管理です。
情報を適切に入力し、入力したデータを安全に保存するための方法を決定しなければなりません。万が一、情報を誤って入力した場合には、企業の財務情報や取引先への発注や販売データなどに大きな間違いが生じる可能性があります。
発注及び販売データのズレなどが起こってしまった場合、企業経営にも大きく悪影響を及ぼす可能性があるため、必ずデータ入力に関する統制を行う必要があるのです。
具体的には、次のようなルールを決めておきます。
・データ入力に関する業務フローを作成する
・社内の情報システムに関する管理規定を作る
・情報の入力先や保存方法を統一する
上記のような統制を予め定めておき、会社の大切なデータが誤って入力されることがないよう担保しなければなりません。
データ管理
入力の他、企業の大切なデータを管理する統制も情報漏洩や個人情報の流出などのリスクを防ぐ上で欠かせない、IT業務処理統制を構成する重要なプロセスです。
ここでのデータ管理には、
・データの授受
・交換
・複製及び廃棄
などが含まれます。
企業の大切なデータを自社で保管する場合、データへのアクセス権限や承認プロセスを明確に決めておくことで、誰でもアクセスできない状態を作らないことが重要です。
また、クラウドシステムによってデータ管理やデータ送信を行う場合には、ログイン認証機能を設定しておくことで不正なアクセスを防ぐことができます。
出力管理
取引先への発注時などに使用される出力管理には、次の要素が含まれます。
・データの作成
・データの検証
・データの保管
・データの出力
自社の信用を左右する出力管理ですが、発注時などの際に誤った情報が出力されてしまった場合に発注ミスを引き起こすため、自社の信用を損ない取引拒否などの事態を招く可能性があります。
そこで正しいデータを出力するためには、
・正確な入力プロセスの整備
・入力されたデータの正確性の検証
・不正アクセスを防止する安全な保管
などを行う必要があります。データの入力や承認、アクセス権限の設定などを行い、データ出力の統制も徹底しましょう。
スプレッドシート等
ExcelやGoogleスプレッドシートなどの表計算ソフトは、業務運営の効率化のためには欠かすことができません。そのため、ExcelやGoogleスプレッドシートを複数人で共有して、オンライン上で共同で作業をしているというケースも少なくありません。
しかし、ExcelやGoogleスプレッドシートのアクセス権限を誤って取引先に付与してしまったり、「URLを知っている人が誰でも編集可能」という状態にした場合、企業の大切な情報が意図せず漏洩してしまう可能性があります。また、大切なデータや情報が誤ったものに書き換えられてしまう可能性もあります。
そのため、複数人で1つのファイルを共同編集できるからこそ、権限の強さやアクセス可能者にルールを設けて、一部のメンバーにのみ権限付与するなどの統制は徹底しましょう。
リスク管理
自社のIT業務がどの程度リスクにさらされているかを把握するために、リスクコントロールマトリックスを作成するなど適切にリスクを管理しなければなりません。
※リスクコントロールマトリックスとは、想定されるリスクに対し目標を立て現在の状況を評価するもの。
ITには、特性上不正アクセスや入力ミスなどリスクが常につきまとっています
・入力情報の完全性・正確性・正当性等に関する統制
・例外処理(エラー)の修正と再処理の統制
・マスタ・データの維持管理
・システム利用の認証・操作範囲の限定などアクセスの管理に関する統制
このようなデータ不正を回避するために、予めリスクを予測して備えておくことが非常に重要です。リスクコントロールマトリックスの雛形は、インターネット上にも多数公開されていますので興味がある方は是非調べてみてください。
IT業務処理統制の具体例
IT業務処理統制は、具体的に次のような統制を指します。
・入力情報の完全性・正確性・正当性等に関する統制
・例外処理(エラー)の修正と再処理の統制
・マスタ・データの維持管理
・システム利用の認証・操作範囲の限定などアクセスの管理に関する統制
それぞれの統制の内容はどのようなものなのか、以下にて具体的に解説していきます。
入力情報の完全性・正確性・正当性等に関する統制
情報やデータを入力する際、財務情報の開示ミスや取引先との受発注トラブルなどを引き起こしかねないため決して間違いがあってはなりません。
そのため、入力する情報の完全性や正確性、正当性を確保する統制を行う必要があります。
・データチェックのソフトを使用する
・エラーがあるとデータ処理されないツールを使用する
・上長によるダブルチェック体制を構築する
上記記載の通り、入力情報の正確性を担保する仕組みは様々なので、企業の業種や形態に合わせて適正な統制を構築していきましょう。
エラーの修正と再処理の統制
入力される情報には、複数人の手が介在する部分がある以上エラーはつきものです。そのため、エラーを修正したり、再処理を行う際の統制も構築しておく必要があります。
例えば、システムがエラーを検知した段階における、一次的なエラーの修正者や上長や他部署の人間がエラーを発見した際に修正する担当者などを決めておくことです。仮に、人員的に余裕があるのであれば、チェック専門の部署を作っておくのも1つの方法でしょう。
最初から「エラーは必ず発生する」という見通しの元で、エラーの修正と再処理の統制を適切に構築しておくことが重要です。
データの維持管理
顧客データやPLデータなど会社の業務運営において重要なデータをどのように保管し、安全に管理するための業務統制です。
ここでは、重要度が高いデータだからこそ、データの保管方法だけでなくデータにアクセスできる人の権限や承認に関するルール作りも重要です。
社内の誰がデータにアクセスでき、従業員が業務上アクセスの必要性が生じた時に上長に承認を求めるプロセスをどうするかなど、データの維持管理に関するルール作りも徹底しておきましょう。
システム利用に関するアクセスの管理
一部繰り返しになりますが、社内のシステムや情報に誰がアクセスできるのかを統制することも重要です。
現に、元従業員による個人情報流出などのニュースは後を絶ちません。このような事態が起こる背景には、大切な情報に従業員全員が自由にアクセスできるが故に、
・顧客情報などの秘匿性の高い情報が流出する
・悪意を持って財務データなどを書き換えられる
ことが起こりえます。
そのため、会社のシステムや情報にアクセスできる人を予め定義して、その従業員だけに必要なだけのアクセス権限を与えるべきです。
IT業務処理統制とIT全般統制・IT全社的統制の違い
IT業務処理統制と似た言葉として、IT全般統制とIT全社的統制があります。
IT業務処理統制との違いを詳しく解説していきます。
IT業務処理統制とIT全般統制の違い
IT全般統制とは、ITシステム全体の業務をコントロールする統制のことで、具体的には次のような統制になります。
・システムの開発、保守に係る管理
・システムの運用・管理
・内外からのアクセス管理等のシステムの安全性の確保
・外部委託に関する契約の管理
IT全般統制には、システムの選び方や外部との契約など企業がITを適切に使うための環境を整備することが主な目的で、実際にITツールを適切に使用するためのルール作りであるIT業務処理統制とは異なります。
IT全般統制でIT技術を活用する素地を整え、その環境の元で適切にITツールが使用されるようルールを構築するのがIT業務処理統制です。
IT業務処理統制とIT全社的統制の違い
IT全社的統制は内部統制を構成する6つの要素のうち、「ITへの対応」を除いた5つの要素の有効性を確保する取り組みです。
・統制環境
・リスクの評価と対応
・統制活動
・情報と伝達
・モニタリング(監視活動)
具体的には次のような取り組みを行うのが一般的です。
・ITに関する戦略、計画、予算等を策定する
・IT戦略や年度計画立案して社内外へ伝達
・IT戦略を実行できる社内体制の確立
・IT教育や研修の実施
・セキュリティポリシー等の公開
・システム監査などの実施
IT全社的統制とはIT統制を有効に実行するため、経営的な目線から予算を立てて環境を整備して計画を立てることです。IT業務処理統制やIT全般統制が社内のIT統制を実施するための具体的な施策であるのに対して、IT全社的統制はITに関する経営方針と言っても過言ではありません。
ITに係る業務処理統制を構築するポイント
ITに関するリスクやITの活用方法は様々です。そのため、最も重要なことは「自社にとってどんなリスクがあるのか」を洗い出すことです。
洗い出したリスクを回避するために具体的にどうすれば良いのかを検討するために、IT業務処理統制が非常に重要になります。
IT業務処理統制を有効なものとして構築していくためのポイントは次の2点です。
・人手とシステムの処理が一体となった統制:システムだけでなく人間の手で2次チェックを行う
・システム内で自動化された機能:内部統制の要件を満たす自動機能が備わっているシステムを導入する
リスクを手作業とシステム、どちらでカバーするのかを検討して適切な統制を構築していきましょう。
IT業務処理統制を評価するポイント
IT業務処理統制は、社内で定期的に機能具合を評価する必要があり、
・人手とシステムで一体に処理する機能の評価
・自動化された機能の評価方法
の2つのポイントで評価することを推奨します。以下にて、この2つのポイントについて詳しく解説していきます。
人手とシステムで一体に処理する機能の評価
人間とシステムで一体に処理する機能を評価する場合には、手始めにシステムでエラーリストを作成します。
このエラーリストの評価を人間が行うことになるのですが、
1.確認者がエラーリストを閲覧する
2.担当者がシステムから出力したエラーの内容を確認する
3.改善や把握できた場合には押印していき、エラーリストの確認が全て終えているのかを確認する
といった手順で進行します。
上記の通り、半ばシステムに依存しているため「確認はシステムに任せているから大丈夫」という考えになることもありますが、最終的には人間の目でエラーがないことを確認し、確認状況について社内で共有できている状態が非常に重要です。
自動化された機能の評価方法
完全にシステムに自動化された機能
・未入力項目のエラーが表示されることを確認
・商品マスタにない商品コードを入力すると、商品名が表示されないことを確認
・会計システムへ取り込んだ後、仕訳の件数や金額が一致することを確認
・システムに登録されているIDやその権限を出力しアクセス制限がかけられていることを確認
を評価する場合には、次のテストを実施します。
・未入力項目のエラーが表示されることを確認
・商品マスタにない商品コードを入力すると、商品名が表示されないことを確認
・会計システムへ取り込んだ後、仕訳の件数や金額が一致することを確認
・システムに登録されているIDやその権限を出力しアクセス制限がかけられていることを確認
自動化されたシステムを評価する際には、情報の正確性を確認するのではなく、あえてエラーが出る情報を入力し、適切にエラーが出るかを確認することが重要です。
未入力や誤ったコードや番号でエラーが表示されるのか、または、入力情報が正確に反映されるのかをテストして、システムが正常に起動しているかを確認しましょう。
まとめ
IT業務処理統制とは、ITツールが適切かつ安全に機能するためのルールを作ることを指し、昨今重要視される内部統制の中でも情報漏洩などのリスクを防ぐIT統制に寄与する取り組みです。
ITツールを活用した業務執行が当たり前の今、企業内部で適切にツールが使用される環境を整備しなければなりません。
便利なITツールだからこそ、適切に使用できなければ、自社の決算内容の信憑性が揺らいでしまう上、適切に取引先に対する受発注ができないことがあります。
企業のフェーズに応じて統制内容を変化させていく必要があり、なかなか網羅的に仕組みづくりをすることが難しい以上、「自社にとってどんなリスクがあるのか」を事前に洗い出して、リスクに合わせた統制を構築することが肝要です。
この記事、皆様のお役に立てれば幸いです。最後までお読みくださり、ありがとうございました。
IT統制に関連した、内部統制・内部監査については次の記事もご参照ください。
⇒法定監査とは?種類、任意監査や税務調査との違いを解説
⇒ISMS(ISO27001)内部監査とは?進め方、実施の注意点を解説
⇒ISO9001内部監査とは?目的、質問例、進め方を徹底解説
⇒内部監査報告書とは?目的や書き方、流れをわかりやすく解説
⇒内部統制監査とは?目的、内部監査/会計監査との違い
⇒内部統制実施基準とは?概要や2023年4月の改訂ポイントをわかりやすく解説
⇒内部統制システムとは?目的、義務がある会社、具体例をわかりやすく解説
⇒内部統制報告書とは?目的、提出義務がある会社、作成方法などを解説
また、コーポレートガバナンスについては、次の記事もご参照ください。
⇒コーポレートガバナンス(企業統治)とは?目的・強化方法・歴史的背景について解説
⇒コーポレートガバナンス・コードとは?概要・特徴・制定された背景について解説
⇒コーポレートガバナンス・コードの5つの基本原則|特徴・制定の背景・適用範囲と拘束力について解説
⇒【2021年改訂】コーポレートガバナンス・コードの実務対応と開示事例
⇒プリンシプルベース・アプローチ|ルール・ベース・アプローチとの比較・背景・意義について解説
⇒コンプライ・オア・エクスプレイン|コンプライアンスへの対応・意義・必要性について解説
スタートアップ・ベンチャーの経営をされている方にとって、事業に取り組みつつ資金調達や資本政策、IPO準備も進めることは困難ではないでしょうか。
財務戦略の策定から実行まで担えるような人材をを採用したくても、実績・経験がある人を見つけるのには非常に苦労するといったこともあるでしょう。
このような問題を解決するために、SOICOでは「シェアリングCFO®︎」というCFOプロ人材と企業のマッチングサービスを提供しています。
シェアリングCFO®︎では、経験豊富なCFOのプロ人材に週1日から必要な分だけ業務を依頼することが可能です。
例えば、ベンチャー企業にて資金調達の経験を持つCFOに、スポットで業務を委託することもできます。
専門的で対応工数のかかるファイナンス業務はプロの人材に任せることで、経営者の方が事業の成長に集中できるようになります。
「シェアリングCFO®︎」について無料相談を実施しているので、ご興味をお持ちの方はぜひ下のカレンダーから相談会の予約をしてみてくださいね!
この記事を書いた人
共同創業者&代表取締役CEO 茅原 淳一(かやはら じゅんいち)
慶應義塾大学卒業後、新日本有限責任監査法人にて監査業務に従事。 その後クレディスイス証券株式会社を経て2012年KLab株式会社入社。 KLabでは海外子会社の取締役等を歴任。2016年上場会社として初の信託を活用したストックオプションプランを実施。 2015年医療系ベンチャーの取締役財務責任者に就任。 2018年よりSOICO株式会社の代表取締役CEOに就任。公認会計士。