IT統制とは？必要な理由や構築ステップを初心者向けに徹底解説

クラウドサービスの利用が広がる近年、IT統制の整備は企業の信頼性を守る重要な課題です。とはいえ、「何から始めるべきかわからない」と悩む情シス担当者も少なくありません。

本記事では、IT統制の基礎知識や具体的な構築ステップ、よくある失敗とその対策をわかりやすく解説します。自社のIT管理体制を整備するために、ぜひご一読ください。

なお、IT統制の中でも属人化しやすい人事・労務領域は、システムの活用がおすすめです。クラウド人事労務ソフトのSmartHRを導入すると、申請・承認ワークフローや操作ログの記録により、IT統制を運用しやすくなります。

IT統制とは、ITに関するリスクをコントロールするための社内ルール（内部統制）の一部です。情報漏えい、データの改ざん、システム障害、不正アクセスなど、ITの利用に伴うリスクを管理し、業務の信頼性・安全性・効率性を確保することを目的としています。

• 情報漏えい
• データの改ざん
• システム障害
• 不正アクセス
• 不適切なアカウントの使用
• リモートワークでの不正行為

IT統制は「誰がシステムにアクセスできるか（アクセス権管理）」や、「システム変更時の承認手順（変更管理）」などのルールを定め、適切に運用することで実現されます。

IT統制が必要な理由は、会社の重要なデータを守り、財務報告の信頼性を確保する必要があるからです。

上場企業や新規上場（IPO）準備企業は、J-SOX法（内部統制報告制度　以下、J-SOX法と記載）によって内部統制の整備が法的に求められています。監査での指摘や上場遅延といった重大なリスクを回避するために、IT統制が必要です。

また、近年ではSaaSの普及に伴い、シャドーIT（情シスが把握していないIT機器やサービス）の増加や、退職者アカウントの放置による情報漏えい・改ざんリスクが高まっています。

弊社（株式会社SmartHR）の調査によると、「退職者や異動者のアカウントを適切に管理できていない」と感じる情シス担当者は63.9%でした。

ウイルス感染や災害による、事業停止のリスク（BCP対策）にも備えなくてはなりません。

IT統制はこうしたリスクを管理してデータの正確性を担保することで、経営判断のミスを防ぎ、業務の属人化をなくす役割があります。

上場企業および上場準備企業は、J-SOX法への対応としてIT統制の構築が必須です。

また、今後上場を目指す企業もIT統制を整備しておくことで、内部統制の整備プロセスや重複する上場審査への対応が円滑に進みやすくなります。

また、次のような企業もIT統制の整備が必要です。

• SaaSを多用して急成長している企業
• 表計算ソフトでの手作業管理に限界を感じている企業
• 外部委託先の管理を明確にしたい企業

自社が以上の状況に当てはまるなら、将来のリスクを防ぐためにもIT統制の整備を始めましょう。

IT統制は情シス部門や内部監査部門だけではなく、全社的な取り組みとして進める必要があります。

この役割分担を明確にするため、内部監査人協会が提唱しているのが「3線モデル」です。

統制やリスク管理における「実行」「監視」「評価」の3つの機能を分けることで、統制の有効性と客観性を高める考え方です。以下に、それぞれの役割をまとめました。

少人数の企業では、1人が複数の役割を担うこともありますが、その場合でも、実行・監視・評価の役割を意識的に分けて考えることが、運用可能な体制づくりにつながります。

IT統制には「内部統制」「ITガバナンス」など似た用語があり、混同しがちです。ここでは、それぞれの役割と関係性の違いをわかりやすく解説します。

IT統制と内部統制の違いは、以下のとおりです。

• 内部統制：企業全体の業務の適正さを管理する大きな枠組み
• IT統制：内部統制の中でも、ITシステムやデータ管理の信頼性を担保する役割

たとえば、内部統制の目的が「売上の正確な計上」だとしましょう。

目的の実現手段の一つとして、「会計システムへのアクセス権限を厳格に管理し、入力や修正操作のログを記録・監査する」といった仕組みを設けるのがIT統制です。

また、内部統制はJ-SOX法により、上場企業に財務報告の信頼性を確保するために求められています。

IT統制の範囲を検討する際は、まず内部統制の目的を起点にしましょう。

ITガバナンスとIT統制は、下記のとおり目的と実行の関係にあります。

• ITガバナンス：ITを利活用するために起こり得るリスクを未然に防止し、企業の信頼を高める活動
• IT統制：「方針をどのように実行・担保するか」を具体化する

たとえば、経営層が「SaaSを積極的に活用し事業の俊敏性を高めるが、情報セキュリティは最高レベルを維持する」方針を定めたとしましょう。

この方針を受け、IT統制では「SaaS導入時のセキュリティ評価プロセスの整備」や「特権IDの厳格な管理と定期的な棚卸し」といったルールやプロセスを構築・運用します。

このように、ITガバナンスで定められた方針を現場で具体化していくのがIT統制の役割です。実際にSaaSの導入が進む中で、アクセス管理やアカウント管理の仕組みを整備することも、その一環といえるでしょう。

もし、SaaSのアクセス管理やアカウント管理を実行するなら、SmartHRの導入もおすすめです。

SmartHRには、一度の認証で複数のSaaSにログインできるシングルサインオン機能があります。パスワードの使い回しを防げるため、不正アクセスのリスク低減に貢献します。

また、従業員データベースと連動しているため、入退社や異動にあわせたアカウント管理やアクセス権の付与を実現し、運用負荷の軽減にもつながります。

IT統制を理解するうえで、3つの視点に整理して考えることがよくあります。ここでは、全社・基盤・業務アプリの3つに分類し、それぞれの役割と具体例を解説します。

1. IT全社的統制：会社全体のIT方針を決めるルール
2. IT全般統制（ITGC）：IT基盤全体の信頼性を保つルール
3. IT業務処理統制（ITAC）：日々の業務を正しく行なうルール

IT全社的統制は、経営層が主導して決める、会社全体のITに関する基本方針や体制のことです。もし会社として情報セキュリティの方針が定まっていなければ、現場は「何をどこまで守ればよいか」がわかりません。

たとえばIT全社的統制には、以下のような内容が含まれます。

• 情報セキュリティポリシーの文書化
• 経営者の方針を伝達する仕組みの整備
• IT人材の配置や育成の計画

監査では、まずIT全社的統制が整備されているかが確認されます。情シス担当者はITに関する基本方針やルールを文書化し、経営層の承認を得て全社に周知しましょう。

サーバーやネットワークといったITシステム全体を安全に運用するためのルールが、IT全般統制（Information Technology General Control / ITGC）です。

この土台が不安定だと、業務ごとのルール（IT業務処理統制）が実効性を持ちません。たとえば会計ソフトの承認ルールが適切でも、誰でもサーバーにアクセスして元データを直接変更できたら、統制が機能しないでしょう。

IT全般統制には、下記のような統制項目があります。

• 誰がシステムにアクセスできるか（アカウント・パスワード管理）
• システムの変更手順（変更管理）
• 日々のバックアップやログ監視（運用管理）

情シス担当者は、入退社時のアカウント発行・削除プロセスの確立や、管理者アカウントの厳格な管理、多要素認証の導入が必要です。

IT業務処理統制（Information Technology Application Control / ITAC）は、個別の業務アプリケーションやシステム上の処理・記録を統制するルールです。日々の業務における入力ミスや不正を防ぎ、データの正確性を保つために必要になります。

IT業務処理統制は次のように、システムに組み込まれた機能や設定が該当します。

• 必須項目が入力されないとエラーにする
• 上長の承認がないと発注できない

情シス担当者としては、まず売上や経費などお金に直結する重要な業務から、システム上の承認プロセスが機能しているかを確認しましょう。

なお、人事・労務領域において、IT業務処理統制の強化と効率化に貢献するのがSmartHRです。

SmartHRは、入社手続きや従業員データの変更といった業務プロセスを、システム上で標準化・自動化します。

申請・承認のワークフローが明確になり、「いつ・誰が・何を」操作したかのログも自動で記録されます。

手作業による入力ミスや不正なデータ変更を防げるため、IT統制の強化やバックオフィス業務の負担軽減に貢献します。

IT統制は、4つのステップに沿って段階的に構築していくのが一般的です。ここでは、それぞれの段階で取り組むべきポイントを順に整理します。

1. 現状を把握する
2. IT統制目標と現状のギャップを分析する
3. ギャップをもとにIT統制を構築する
4. 運用しながら評価・改善を繰り返す

IT統制の構築は、まず現状把握からはじめましょう。「ルールはあるが形骸化している」「そもそもルールがない」といった実態を把握しなければ、本当に対応すべき課題が見えてきません。

具体的には、以下のような手順で進めましょう。

1. 会計ソフトやSaaSなどのシステムを一覧化する
2. 関連ルール（情報セキュリティ規程など）が存在するか、内容が古くなっていないかを確認する
3. 現場担当者にヒアリングし、業務プロセスを調べる

監査では「ルール」と「実際の運用」が一致しているかが問われます。そのため、現状把握の段階でシステム、規定、実態の運用状況の3点を一体的に可視化することが、構築の第一歩となります。

現状把握が終わったら、次に「あるべき姿（J-SOX法などが求める統制要件）」と現状を比較し、ギャップを見つけ出しましょう。

具体的には、経済産業省の「システム管理基準 追補版」を参考にします。項目ごとに、自社が整備済みか未整備かを判定しましょう。

SaaSを利用している場合は、ベンダーと自社の責任範囲を確認・整理することも必要です。たとえば、一般的にインフラやアプリケーションの保守・障害対応はベンダーが担いますが、ユーザー権限の管理や操作ログの監査などは自社の責任範囲です。

未整備の項目が見つかった場合は、財務への影響度や発生頻度に応じて優先順位をつけましょう。このように進めると、兼任情シスやひとり情シスでもリソースを無駄にせず、重要な課題から順に取り組みやすくなります。

ギャップ分析で見つかった優先度の高い課題から、具体的な運用ルールを設計して文書化していきます。監査では「誰が・いつ・何をしたか」が追跡できる仕組みと、それを示す手順書の整備が求められるためです。

たとえば、以下のような対応が考えられます。

• システムにアクセス可能なアカウント一覧表について、部門長が承認する運用手順を定める
• 申請と承認の履歴が残るよう、仕組みやルールを整備する
• 外部委託先の管理体制について、契約・評価の観点から見直す

承認履歴や関連資料は、指定のフォルダに整理・保存しておくことで、後の監査対応にも備えやすくなります。

兼任情シスや少人数の体制では、担当者の異動によってルールが曖昧になりやすい傾向があります。手順書やチェックリストを用意し、「誰でもわかる・引き継げる」状態をつくることが、運用を継続させるポイントです。

なお、ルールの整備だけでなく、状況によってはIT統制に対応したシステムの選定や導入が必要になる場合もあります。システムのリプレイスには一定の時間と工数がかかるため、事前に優先度やスケジュールを整理したうえで、計画的に検討を進めていくことが望ましいでしょう。

構築したルールが現場で正しく守られているかを定期的に評価し、不備があれば見直しましょう。ルールを作っただけで、実際に運用されている証拠がなければ、監査で機能していないと判断されます。

たとえば、四半期ごとに「アカウント棚卸しは手順通りか」「変更履歴の承認記録はあるか」をサンプルチェックしましょう。もし退職者のアカウントが残っていたら、人事からの連絡フローを見直すなど、すぐに再発防止策を講じます。

少人数の体制では、日々の業務で運用が疎かになりがちです。定期的なチェックと改善を続けて、IT統制を形骸化させないようにしましょう。

IT統制の運用を属人化させず、継続的な評価・改善サイクルを確立するなら、従業員データと連動するワークフロー機能の導入がおすすめです。

SmartHRでは、従業員データベースとワークフローが連動し、日々の運用プロセスを標準化できます。

また、最新の従業員データがSmartHRに集約されるため、異動や退職にあわせた承認プロセスの管理・運用負荷を削減しやすいのもメリットです。

IT統制の監査では、監査官が重視するポイントがあります。ここでは、主要な4つの評価項目を紹介します。

1. 開発・変更時のルールは守られているか
2. 日々の運用は正しく記録されているか
3. アクセス権の管理は適切か
4. 外部委託先の管理は十分か

監査では、システム開発や設定を変更するときに、決められた手順が守られているかがチェックされます。

もし承認なしでシステムが変更されると、売上の計算方法が不正に改変されたり、セキュリティ設定が意図せず緩和されるなど重大なリスクが生じる可能性があるためです。

具体的には、下記の一連の流れがすべて記録されているかが確認されます。

1. 変更の申請
2. 上長の承認
3. テストの実施
4. 本番環境への反映
5. 変更後の動作確認

情シス担当者は、小さな変更でも必ず「申請・承認・テスト」の記録を残すルールを整備し、運用しましょう。

バックアップやバッチ処理、障害対応といった日々のIT運用業務が計画通りに実施され、その記録が残っていることも監査の評価対象です。

このような日常業務は、システムの安定稼働やデータ保護の土台です。万が一運用が不十分だと、データ消失や業務停止といった問題が発生しかねません。

とくに重点的に確認されるのは、以下のような点です。

• バックアップを毎日取得している記録
• システムエラーの対応記録
• 操作ログが正しく保存され、定期チェックされていること

情シス担当者は日々の運用を確実に実施し、エラー対応を含めた記録を証拠として保管しておきましょう。

「誰が・どのシステムに・どこまでアクセスできるか」など、アカウントや権限の管理が適切に行われていることも評価項目です。

入退社リストとアカウント管理台帳を照合し、アカウントの発行・削除プロセスがルール通りか確認します。以下がその一例です。

• 定期的に全アカウントの見直しが実施され、部門長などの承認記録が残っているか
• 管理者権限の利用ログがレビューされているか

マスターデータなどの作成・変更・削除や、プログラム修正を行える「特権ID」の管理体制は、監査法人からとくに厳しくチェックされる重要項目です。

SaaSを利用している場合は、多要素認証やパスワードポリシーが適切に設定・運用されているかどうかも、利用者側の責任として問われます。

SaaSやシステムの運用委託先といった、外部サービスの管理が十分に行われているかも評価項目です。

クラウドサービスは、サービス提供元と利用者でセキュリティの責任範囲が分かれています。サービス提供元の基盤が安全でも、自社のアクセス権やデータ管理が不十分だと、そこが弱点となるでしょう。

監査では、まず委託先から「SOC報告書」などのセキュリティ体制を証明する書類を入手しているかが確認されます。そのうえで、SOC報告書内の「利用者側で対応すべき項目（補完的利用者統制）」を、自社でルール化し運用しているかが問われます。

たとえば、「アクセス権の管理は利用者が行なうこと」と記載があれば、自社でアカウント棚卸しなどを実施している証拠が必要です。

情シス担当者はSOC報告書の内容を理解し、利用者側の責任範囲を明確にし確実に実行する必要があります。

IT統制の構築で陥りがちな3つの失敗パターンと、その対策を紹介します。

1. ルールが厳しすぎて業務が非効率になる
2. クラウドサービスの管理が漏れてしまう
3. 現場の協力が得られず運用が形骸化する

承認プロセスを過剰に増やした結果、現場の不満が溜まり、ルールが守られなくなったり抜け道が作られたりしては本末転倒です。

たとえば、以下のルールでは対応が遅れ、ビジネスの機会損失になりかねません。

• 財務に影響しないツールの設定変更にまで、多段階の承認を必須にする
• 緊急のシステム障害時にも通常の手順を求める

対策として、財務への影響度に応じてルールに強弱をつけ、高リスクな作業だけ承認を厳格化しましょう。緊急時の変更フローを別途整備するなど、安全性と業務効率のバランスを取る必要があります。

クラウドサービスの利用が各部門に広がるなかで、情シスがすべての利用状況を把握しきれず、IT統制の対象から漏れてしまうケースも見受けられます。その結果、退職者のアカウントが削除されずに残っていたり、監査時にデータの正確性を証明できなかったりするリスクが生じかねません。

こうした事態を防ぐためには、以下のような対策が有効です。

• 「クラウドサービスの導入には情シス部門の事前承認を必要とする」といったルールを社内で制度化し、運用を徹底する
• 利用中のサービスを一覧化した「クラウドサービス管理台帳」を整備し、常に最新の状態を維持する
• CASB（Cloud Access Security Broker）を導入し、クラウドサービスの利用状況を可視化する

CASBとは、クラウドサービスを安全に利用するためのセキュリティ製品であり、「いつ、どの端末から、誰が、どのサービスを利用したか」といった情報を把握できます。この機能により、シャドーITの発見や管理に役立ちます。

また、定期的な棚卸しの仕組みとして、四半期に一度、経理部門の支払い履歴と台帳を照合し、未登録のクラウドサービスが紛れていないかを確認することも効果的です。

IT統制を実務で機能させるためには、現場の関与が欠かせません。たとえば、アカウント棚卸しの際に部門長が確認・承認を行ったり、システム変更時に申請書を記入したりと、各部門がルールに沿って動くことが求められます。

しかし、こうした協力が得られない場合、承認が形だけになったり、記録が不十分になったりするリスクが生じます。

現場の理解と協力を得るためには、以下のような対応が考えられます。

• 経営層から「IT統制は全社的な経営課題である」とのメッセージを発信する
• IT統制によって得られるメリット（セキュリティ強化、業務効率化など）を具体的に伝え、各部門の動機づけにつなげる
• 月次ミーティングなどで現場の課題を共有し、運用ルールに継続的に反映させる

あわせて、現場がスムーズに対応できる仕組みづくりも重要です。たとえば、従業員にとって直感的に使いやすいシステムを導入することで、申請や承認といったプロセスを無理なく進められるようになります。

SmartHRでは、従業員データを一元管理できるほか、直感的なUI/UXにより、ITツールに不慣れな従業員でも扱いやすい設計がなされています。

スマートフォンアプリや多言語対応にも配慮されており、現場の負荷を抑えつつ、IT統制の運用基盤を整える選択肢のひとつとなるでしょう。

情シス担当者がIT統制に取り組む際に、まず着手すべき2つのステップを紹介します。

1. 管理対象を洗い出して台帳を整備する
2. 小さなルールから試験的に導入する

管理対象が曖昧な状態では、IT統制の対象から重要な会計SaaSが漏れて監査で指摘される一方で、財務に影響しないツールに過剰な対応工数を割いてしまう恐れがあります。

以下のような手順で社内のITシステムやSaaSを洗い出し、一覧化しましょう。

1. 経理部門からSaaSなどの支払い一覧を入手する
2. 各部門にヒアリングして、使用中のSaaSや保存しているデータの種類、管理者などを確認する
3. 2の情報を表計算ソフトの「SaaS管理台帳」にまとめる
4. SaaS名・利用部門・管理者・財務報告への関連度（高・中・低）などを記載する

管理台帳をもとに、「財務関連度が『高』と『中』のシステムを統制対象とする」といった社内基準を明確にします。

IT統制は、小さなルールから段階的に導入していくことで、無理なく定着させやすくなります。小規模な試験運用であれば、情シス担当者が早い段階で取り組みの成果を把握しやすく、現場も徐々に新しい手順に慣れていくことができます。また、運用とあわせて改善を進めることで、実態に即したルールへと育てていくことが可能です。

たとえば、最優先の課題が「退職者アカウントの削除漏れ」であれば、以下のような形で始めるのも一案です。

• 対象を、会計ソフトなど財務に直結する主要なSaaSに絞る
• 「人事から退職連絡 → 情シスがアカウント削除 → 人事に完了報告」といった簡易的なプロセスからスタートする

試験運用の期間中は、現場からの意見をもとに課題を整理し、あらかじめ設定したタイミング（例：3か月後）で振り返りを行うとよいでしょう。

その結果をふまえ、全社的なルールとして展開できるかどうかを検討していきます。

IT統制は、企業の信頼性を保ち、SaaS活用に伴うリスクを管理するうえで欠かせない仕組みです。J-SOX法への対応だけでなく、業務の属人化防止やセキュリティ強化にもつながることから、日々の業務に根づいた運用が求められます。

まずは、自社にどのようなIT資産や業務プロセスがあるかを整理し、ルールや管理体制を見直すところから始めてみてもよいかもしれません。

こうした運用体制を支える仕組みとして、たとえばSmartHRでは、人事労務まわりの申請・承認フローをシステム上で標準化する機能が提供されています。

操作履歴の記録にも対応しており、監査対応や内部統制の観点でも活用できる場面があります。IT統制の実務運用や効率化に関心がある方は、以下の資料をご覧いただければと思います。