上場間もない企業や子会社においては、IT管理に係る人材が不足していることもあり、IT統制の構築がなかなか進んでいないようです。セキュリティポリシーは策定されているケースはありますが、システム管理に係るルール・手順が整備されていないことがあります。
システムの不正利用によるデータの改ざんや破壊といった事件が発生しており、IT統制の重要性は高まっています。
さらに、内部統制対応としては、監査法人が要求するIT統制の水準をクリアすることが求められます。
今回は、どのようにIT統制の構築や評価を進めていくのか、留意事項と合わせて解説していきます。
IT統制構築・評価の概要とスケジュール
内部統制対応としては、IT統制の構築と評価があります。IT統制の構築では、ITの管理・利用に関するルールを作成します。また、ITの管理・利用ルールを遂行する上での運用書類(申請書や報告書等の記録)を準備することも必要となります。そういった書類をIT運用書類と呼んでいます。
IT統制の評価は、仕組みができていることを確認する「整備状況評価」と仕組みが継続的に実行されているかを確認する「運用状況評価」があります。
IT統制の構築・評価は、どのような期間・進め方で対応するのでしょうか。
IT統制構築・評価のスケジュール感として、IT統制の構築で1年、IT統制の評価で1年の期間を要します。
以下のようなスケジュール・進め方で対応していきます。
■IT統制の構築
①不足しているIT管理ルールの洗い出し:1か月程度
→現行の文書を確認し、作成すべきIT管理ルールを洗い出します。
②IT管理ルールドラフト版の作成:3か月程度
→現行の業務手順・体制等を踏まえ、IT管理ルールのドラフト版を作成します。
③IT運用書類ドラフト版の作成:2か月程度
→IT管理ルールに則り、必要となるIT運用書類を作成します。
④IT管理ルール・IT運用書類の検証:3か月程度
→IT管理ルールに則り、業務を運用し、修正点が無いかを検証します。
⑤IT管理ルール・IT運用書類の最終化:3か月程度
→検証結果を踏まえ、IT管理ルール・IT運用書類を更新します。
■IT統制の評価(整備状況評価)
①評価項目の確定:2か月程度
→文献等を参照し、評価する内容を決定します。
②証憑の収集:2か月程度
→評価で必要なIT管理ルールやIT運用書類(当該年度の記録)を収集します。
③整備状況評価の実施:2か月程度
→IT管理ルールやIT運用書類を閲覧し、評価項目の要件を満たしているかを確認します。
■IT統制の評価(運用状況評価)
①改善活動の実施:2か月程度
→不備が検出された場合、改善策を実行します。
②証憑の収集:2か月程度
→評価で必要となるIT運用書類(当該年度における複数件の記録)を収集します。
③運用状況評価の実施:2か月程度
→IT運用書類を閲覧し、IT管理ルール通りに業務を遂行しているかを確認します。
IT管理ルールの検証には期間を要します。現行の体制に即しているか、運用が可能かを確認するため、検証期間に余裕を持たせることをお勧めします。
IT統制の構築~ITの管理ルール~
次に、IT統制の構築において、どのようなIT管理ルールを作成するべきかを解説します。
IT統制の評価項目(システム開発・システム変更・システム運用・アクセス管理・外部委託管理)をカバーするため、以下のようなIT管理ルールが必要になります。
・システム開発手順書
・システム変更手順書
・バックアップ取得・管理手順書
・入退室管理手順書
・アクセス管理手順書
・アクセス権定義書(職務とアクセス権の一覧表)
・障害対応手順書
・外部委託管理手順書
IT管理ルールでは、作業手順・申請ルート・承認手続等を定めます。また、IT管理ルールには、使用するIT運用書類も記載しておくべきです。現行のシステムや体制等を踏まえ、自社の状況に即した文書にすることが望ましいです。また、記録の保存や上長の承認等、内部統制上必要となる要件を明記しておくことが必要です。
IT管理ルールは、現行の規程類(職務権限規程・稟議規程等)と整合性を取りながら、作成することがポイントです。また、情報システム部門だけでなく、他の部門にも適用されるので、関係者への周知も重要です。
IT統制の構築~IT運用書類~
続いて、整備すべきIT運用書類を見ていきたいと思います。IT運用書類は、IT管理ルールの実施記録になります。
IT統制の構築では、ルールだけでなく、運用記録を整備していくことも必要です。IT統制の構築ができていない企業では、口頭での依頼等になっており、記録が残っていないことも多いのではないでしょうか。
IT運用書類は、IT管理ルールと整合性を取り、作成する必要があります。内部統制対応上、以下のようなIT運用書類が必要だと考えます。
・システム変更依頼書(テスト結果含む)
・ジョブ設定依頼書(ジョブ変更の依頼・承認に係る記録)
・バックアップ取得の記録(バックアップの成功・失敗等の記録)
・障害報告書
・データ修正依頼書(データベースの修正依頼・承認に係る記録)
・アカウント申請書
・アカウント棚卸結果報告書
・サーバールーム(データセンター)入室申請書
・委託先作業確認記録
なお、システムリプレイスの発生時は、「システム計画書」「要件定義書」「システム設計書」「テスト計画書」「テスト報告書」「移行結果報告書」等の書類も必要です。
ただし、こちらの書類は、通常はベンダー側で作成する、あるいはベンダーよりひな型が提供されるケースが多いため、上記に含めていません。
IT運用書類は、IT管理ルールに合わせ、承認ルート・申請内容等の項目を設ける必要があります。
ワークフローシステムを利用している場合は、そちらとの連携も考慮し、運用方法を検討することをお勧めします。
IT統制の評価~評価調書の作成~
IT統制の構築後、仕組みが適切に整備され、運用されているかを評価します。評価実施前に、どのように評価するかを決める必要があります。0から評価項目を検討するのは難しいため、経済産業省から公表されているIT統制ガイダンス等の文献を参照し、評価項目を設定することをお勧めします。
評価項目は監査法人とも協議し、決定することが重要です。評価後になると、監査法人から追加対応を求められる等、作業の手戻りが発生する可能性があるため、事前に監査法人の合意を得ておくべきです。
IT統制の評価は、整備状況(IT管理ルールに必要な要件が定義されているか)・運用状況(IT管理ルールに沿い、IT運用書類を作成しているか)を確認し、評価結果を評価調書に取り纏めます。
IT統制の構築後間もないと、ルールの周知・理解が不足していることが見受けられます。
IT統制の評価を通じ、不備(統制が不足している点)を洗い出し、改善活動につなげることがポイントです。
IT統制評価のポイントは、以下の記事も参照してください。
内部監査部門の泣き所!IT統制を克服するためのポイント
IT統制対応における留意事項
最後に、IT統制の構築・評価を進める上での留意事項をお伝えしたいと思います。
冒頭でも触れましたが、IT管理に係る人材が不足している点が課題となる場合もあります。
社内に専任の担当者を設けるのが望ましいですが、外部のITベンダーをうまく活用しながら、IT統制を整備する方法もあります。ITベンダーの活用により、ノウハウやリソースを補完し、自社では窓口となる担当者のみを配置する体制でも対応は可能です。
ただし、「ITベンダーに任せている」ことにより、IT統制の構築・評価が除外されることはありません。
ITベンダーの作業が適切に行われているか、委託元である企業側でモニタリングする必要があります。
ITの利用責任は、企業側にあるので、ITベンダーの状況を監視することが求められます。
IT統制の構築を進める際、企業の実状を踏まえ、IT管理に係るルールを策定することが必要です。さらに、ルールに従っていることの証跡として、IT運用書類の整備も必要になります。
IT統制の構築を進める際、外部のITベンダーのリソース・ノウハウをうまく活用することも有用です。
まとめ
・IT統制構築・評価の概要とスケジュール
☑IT統制の構築で1年、IT統制の評価で1年の期間を要する
☑IT管理ルールの検証には、期間に余裕を持たせる
・IT統制の構築~ITの管理ルール~
☑IT管理ルールでは、作業手順・申請ルート・承認手続等を定義する
☑現行の規程類(職務権限規程・稟議規程等)と整合性を取る
・IT統制の構築~IT運用書類~
☑IT運用書類は、IT管理ルールに合わせ、承認ルート・申請内容等の項目を設ける
☑ワークフローシステムを利用している場合は、そちらとの連携も考慮し、運用方法を検討する
・IT統制の評価~評価調書の作成~
☑評価項目は、事前に監査法人の合意を得ておく
☑IT統制の評価を通じ、不備を洗い出し、改善活動につなげる
・IT統制対応における留意事項
☑ITベンダーをうまく活用しながら、管理体制を整備する方法もある
☑ITベンダーに委託する場合でも、自社で監視する必要がある
