上場企業や上場を目指す企業向けにIT統制をどこよりも分かりやすく解説します
こんにちは。
株式会社エッグシステム、代表の高橋と申します。
弊社では、上場企業や上場を目指す企業向けに、IT統制をまるっとサポートする「IT統制サポート」というサービスをやっています。
本noteでは、「とにかく分かりやすく!」をモットーにIT統制に関する情報を発信します。
今回は1記事目ということで、IT統制とは?という第一歩目の話しから、なぜIT統制は大変なのか、といったあたりを解説しようと思います!
IT統制とは?
まずはじめにIT統制の定義からです。
IT統制とは「ITに関するリスクを管理し、ITリスクに対してコントロールする仕組みを構築すること。また、構築は適切に運用されていること」です。
ものすごく簡単に言うと「ITに関するルールを作り、ルールに従って運用すること」です。
要するに、重要なシステムへ誰でもログインできてデータ編集できてしまう、勝手に担当者が新しいシステムを導入してしまう、セキュリティ対策を何もしない、といった無法地帯はダメだから、ルールを作りましょうね、ということです。
内部統制の一部にIT統制があります
「内部統制」という単語の方がご存知の方も多いと思います。内部統制とは「会社の目的や目標に対して、それを達成するために必要なルールや仕組みを作り、運用すること」です。
IT統制よりも広義で、内部統制の一部の要素にIT統制がある、と理解していただければ理解しやすいと思います。
逆に、IT統制だけ対応しても、内部統制に対応できたとは言えません。
IT統制には3つの要素があります
ここからが混乱を生みやすい話しなのですが…とにかく簡単に解説します。
まずIT統制を分解すると、3つの要素に分けられます。それぞれ順番に説明します。
①全社的なIT統制(IT全社的統制)
経営レベルでのルールを指します。
例えば、行きあたりばったりでシステムを導入するのではなく中長期的なIT化の計画を策定する、社内が無法地帯にならないように規程を策定した上で情報システムの責任者を設置する、といった内容です。
◯◯システムのアクセス権限、□□システムのセキュリティ、といった個別の話しではなく、全社的な取り組みを指します。
②IT全般統制
ITシステムの環境全般のルールで、個別性の高いルールも含まれます。
例えば、アクセス管理(会計システムといった重要なシステムへのアクセスは専用線や固定IPに限られる等)、各システムのアカウント管理(アカウント数を把握する、適切な権限を付与する等)、システム導入・開発時の承認プロセス(リリース前に責任者が承認した上でリリースする等)、障害時運用(各システムの障害記録を残す等)などです。
③IT業務処理統制
ITシステムを用いて業務を適切に行うためのルールです。
例えば、受注するときの承認、支払いするときの承認、仕訳登録するときの承認、上長が承認した上で基幹システムのマスタへ登録できる、などです。
基本的には、承認機能をもった基幹システムを使っているか、という点です。
IT統制の対応をサービス化する企業がいない理由
ここまでIT統制とは何か、についてご説明しました。
「何となく理解できたけど、IT統制を簡単に対応してくれるクラウドサービスとかないの?」と思う方もいらっしゃるかもしれません。最近では、人事労務、会計、ECなどなど、便利なクラウドサービスが非常に増えており、業務の自動化が進んでいるからです。
しかし、内部統制やIT統制に関するクラウドサービスは私の知る限りは存在せず、システム系の会社でIT統制のコンサルティングをやっている会社はいるものの、大々的にやっているところはほぼいないと思います。
その理由としては、絶対的な正解がないから、だと考えています。
IT統制でやることは、ルールを作ることですが、ルールと言っても、セキュリティや安全性に重きを置く会社と、効率性やシステム導入のスピード感に重きを置く会社では、微妙にルールが変わります。
当たり前といえば当たり前ですが、会社によって最適なルールが変わるので、絶対的な正解がなく、自動化するのが難しいのです。
安全性と効率性のバランスを取る
とは言え、IT統制における「理想形」なるものは存在します。それは、安全性と効率性のバランスが取れた状態です。(最低限守るべきルールを整えることは大前提です)
このバランスが取れた状態、というのが難しくて…、安全性と効率性はトレードオフの関係にあるからです。例えば、効率性を一切無視すれば、とにかく厳しいルールでガチガチにしてしまえば安全性は担保できます。
安全性が高いということは、統制的には非常に良い状態ではありますが、会社経営上どうかと言われると微妙です。やりすぎな状態とも言えます。
安全性(統制がきいているかどうか)、効率性を表であらわすと以下のようになります。自社がどの状態にいるのか、一度チェックしてもらえるとよいかもしれません。
上記の右上が理想形で「統制がきいているし効率も良い」という状態です。なお、弊社でサポートをさせていただく際は、この理想形を目指すように進めています。
今回は「IT統制とは?」という基礎的な内容から、なぜIT統制が難しいのかといった内容まで解説しました。
引き続き、IT統制に関して役に立つ情報を発信していきますが、もしこういう点について詳しく解説して欲しい!というご意見がありましたら、ぜひコメントに残していただければ幸いです。
この記事が気に入ったらサポートをしてみませんか?