LASSIC Media らしくメディア

2026.07.02 らしくコラム

IT全般統制(J-SOX)対応で押さえる要点

LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託

内部統制・監査のイメージ

この記事のポイント

  • J-SOX対応におけるIT統制は、情報システム部門だけの課題ではなく、財務報告の信頼性を左右する経営マターです。
  • IT統制はIT全社的な統制・IT全般統制(ITGC)・IT業務処理統制の3層で整理すると、対応範囲を把握しやすくなります。
  • ITGCはアクセス管理・変更管理・開発導入管理・運用管理の4領域が実務上の中心で、クラウド利用時は委託先統制の評価も欠かせません。

J-SOXとIT統制とは — 経営が関与すべき理由

財務報告・書類確認のイメージ

J-SOX(金融商品取引法に基づく内部統制報告制度)のIT統制とは、財務報告の信頼性を確保するために、会計処理に関わる情報システムの整備・運用状況を経営者自身が評価し報告する仕組みを指します。上場企業とIPO準備企業に義務付けられる制度対応であり、情報システム部門任せにできる領域ではありません。

金融庁は、内部統制の評価及び監査に関する基準・実施基準を定めています*1。この基準は内部統制を「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「ITへの対応」の6つの基本的要素で構成すると整理しています*1。ITへの対応は他の要素と独立に存在するものではありませんが、組織の業務がITに大きく依存している場合や情報システムがITを高度に取り入れている場合は、内部統制の目的達成に重要な影響を及ぼすと位置づけられています*1

上場を目指す企業やすでに上場している企業にとって、IT統制の不備は内部統制報告書における「開示すべき重要な不備」につながりかねません。監査法人の指摘を受けてから慌てて体制を整えるのではなく、経営層が対応の全体像を把握したうえで、予算・人員・スケジュールを計画的に配分することが必要です。

図

内部統制の4つの評価対象とITの位置づけ

J-SOXにおける内部統制の評価は、大きく4つの対象に分かれます。「全社的な内部統制」「決算・財務報告プロセスに係る内部統制」「業務プロセスに係る内部統制」、そして各プロセスに組み込まれた「ITへの対応」です*1。IT統制は独立した評価領域というより、この4つの評価対象すべてに横断的に関わる要素だと理解すると全体像がつかみやすくなります。

全社的な内部統制は、企業集団全体に共通するルールや体制です。経営者の方針、コンプライアンス体制、内部監査部門の機能などが含まれます。決算・財務報告プロセスは、決算の締め処理や連結決算、開示書類の作成手順を指します。業務プロセスは、販売・購買・在庫管理といった日常の取引処理の流れです。

金融庁の実施基準は、IT環境が社会・市場に浸透している状況を踏まえ、財務報告プロセスに重要な影響を及ぼすIT環境への対応と、財務報告プロセス自体に組み込まれたITの利用及び統制を適切に評価することが必要だとしています*1。つまり業務プロセスの中に会計システムやERP(統合基幹業務システム)が組み込まれている以上、業務プロセスの評価はIT統制の評価と切り離せません。

経営層が最初に押さえるべきは、自社のどの業務プロセスにどのシステムが組み込まれ、そのシステムがどのIT基盤(サーバー・ネットワーク・クラウド環境)で稼働しているかという全体像です。この棚卸しをせずに評価範囲を決めると、後工程で評価対象の漏れが発覚し、手戻りが発生します。

IT全社的統制・ITGC・IT業務処理統制の3区分

IT統制とは、財務報告に関わる情報システムにおいて、会計上の取引記録の正当性・完全性・正確性を確保するための統制活動を指します*1。実務上は、対象範囲の広さに応じて「IT全社的な統制」「IT全般統制(ITGC。IT General Controlsの略で、複数の業務システムに共通する基盤的な統制を指す)」「IT業務処理統制」の3層で整理されることが一般的です。

IT全社的な統制は、IT戦略・IT組織・情報セキュリティ方針など、企業全体のIT活動を方向づける基盤的な統制です。個別のシステムではなく、IT部門の体制やガバナンスのあり方そのものが対象になります。

金融庁の実施基準は、ITに対する統制活動を「全般統制」と「業務処理統制」の2つに整理しています*1。全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動で、通常は複数の業務処理統制に共通して関係する方針と手続きを指します*1。具体例として、システムの開発・保守に係る管理、システムの運用・管理、内外からのアクセス管理などシステムの安全性の確保、外部委託に関する契約の管理が挙げられています*1

業務処理統制とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理・記録されることを確保するために業務プロセスに組み込まれたIT統制です*1。具体例として、入力情報の完全性・正確性・正当性を確保する統制、例外処理(エラー)の修正と再処理、マスタデータの維持管理、システム利用に関する認証や操作範囲の限定が挙げられています*1。全般統制が有効に機能していると評価されても、それだけで業務処理統制も有効だと判断することはできず、経営者は両者をそれぞれ評価する必要があります*1

アクセス管理と変更管理 — ITGCの中核2領域

ITGCの対応要点とは、アクセス管理・変更管理・開発導入管理・運用管理の4領域について、方針・手続きを整備し、実際に運用されている証跡を残すことを指します。ここではまずアクセス管理と変更管理を取り上げます。

アクセス管理は、システムへの不正なアクセスや権限の濫用を防ぐための統制です。会計システムやERPに対して、職務に応じた最小限の権限のみを付与する職務分離の原則が基本になります。経理担当者が仕訳の入力から承認まで単独で完結できる権限設定は、不正防止の観点から見直しの対象になりやすい領域です。

アクセス管理を誤ると、退職者のアカウントが放置されて不正アクセスの経路になったり、権限が過剰に付与された担当者が意図せず重要データを改変したりするリスクが生じます。アクセス権限の棚卸しを定期的に実施し、入退社や異動のたびに権限を更新する運用ルールを整備することが、この領域の対応の出発点です。

変更管理は、会計処理に関わるプログラムやシステム設定の変更を、承認と記録を伴う手続きのもとで行う統制です。金融庁の実施基準も、システムの開発又は変更に際して既存システムとの整合性を十分に検討し、開発・変更の過程の記録を適切に保存することを、全般統制の重要な要素として挙げています*1

変更管理の手続きが形骸化すると、テスト工程を経ないままプログラムが本番環境に反映され、意図しない計算誤りが財務諸表に混入する可能性があります。変更申請・承認・テスト・本番反映・事後検証という一連の流れを文書で残し、誰が承認したかを追跡できる状態にしておくことが実務上の対応になります。

開発導入管理と運用管理 — ITGCの残り2領域

IT統制の運用体制のイメージ

開発導入管理は、新システムの導入や既存システムの大幅な改修において、要件定義から本番稼働までの各工程を適切に管理する統制です。会計処理ロジックが正しく実装されているかをテスト工程で検証し、稼働判定の基準を明確にしておくことが求められます。

開発導入管理が不十分だと、要件定義の段階で会計上必要な統制要件が抜け落ち、稼働後に是正のための追加開発が発生する事態を招きます。特にクラウド会計システムへの刷新やERP更改のような大型プロジェクトでは、開発導入管理の不備が財務報告全体の信頼性に波及するリスクがあるため、プロジェクト計画の段階から統制要件を組み込む必要があります。

運用管理は、システムが安定的に稼働し続けるための日常的な統制です。バッチ処理やジョブの実行管理、データのバックアップとリストア手順、障害発生時の対応フローなどが含まれます。決算処理を担うバッチジョブが異常終了した際に、誰がどのタイミングで検知し、どう是正するかというフローがあいまいだと、決算スケジュールそのものが遅延するおそれがあります。

この4領域を内製だけで担うには、会計知識とITインフラ・アプリケーション運用の双方に通じた人材が必要です。特に変更管理と運用管理は日常的な運用作業と一体になっているため、片手間の対応では証跡が途切れやすく、監査時に不備を指摘される典型的な領域になっています。

経済産業省は、システム管理基準とIT統制の対応関係を具体的に示すガイダンスを公表しており、2024年12月の改訂ではIT統制の概要・経営者による評価・統制の実例に関する記述が整理されています*2。自社の統制項目を4領域のどこに位置づけるか迷う場合は、こうした公的なガイダンスを整備状況評価の参照軸として活用する方法があります。

範囲決定から文書化まで — 対応の5ステップ

IT統制対応の実務は、範囲決定・整備状況評価・運用状況評価・不備の是正・文書化という順序で進めることが基本形です。ステップを飛ばすと、後工程で評価のやり直しが発生しやすくなります。

第一のステップは評価範囲の決定です。財務報告に対する金額的・質的影響の重要性を踏まえ、どの業務プロセスとどのITシステムを評価対象に含めるかを決めます。金融庁の実施基準は、財務諸表の表示及び開示、企業活動を構成する事業又は業務、財務報告の基礎となる取引又は事象、主要な業務プロセスを踏まえて範囲を決定するとしています*1

第二のステップは整備状況評価です。ITGCの4領域について、方針・手続きが文書として存在し、業務プロセスに組み込まれているかを確認します。規程はあっても実際の運用手順と乖離しているケースは珍しくなく、現場へのヒアリングと突き合わせて確認する必要があります。

第三のステップは運用状況評価です。整備された統制が実際に機能しているかを、一定期間のサンプルを抽出して検証します。アクセス権限の付与記録や変更申請の承認履歴といった証跡が、評価に耐える形で残っているかがこの段階の焦点になります。

第四のステップは不備の是正です。評価で発見された不備を、重要性に応じて優先順位を付けて是正します。是正が決算期末までに完了しない場合、開示すべき重要な不備として内部統制報告書に記載する必要が生じるため、スケジュール管理が経営判断として重要になります。

第五のステップは文書化です。評価の範囲決定の根拠、整備状況・運用状況評価の結果、不備とその是正内容を記録として残します。文書化は監査対応のためだけでなく、翌年度以降の評価を効率化するための資産にもなります。

クラウド・SaaS時代の留意点 — 委託先統制とSOC報告書

クラウドサービスやSaaS(Software as a Serviceの略。ソフトウェアをインターネット経由で利用する提供形態)を会計処理に利用する企業が増える中、IT統制の評価対象は自社のシステムだけにとどまりません。情報システムの開発・運用・保守などIT業務を外部の専門会社に委託している場合、委託業務に係る内部統制も評価の範囲に含まれます*1

金融庁の実施基準は、委託業務が企業の重要な業務プロセスの一部を構成している場合、経営者は当該業務を提供する受託会社の内部統制の有効性を評価しなければならないとしています*1。評価の方法として、サンプリングによる検証と、受託会社から評価結果を記載した報告書等を入手して代替手段とする方法の2つが示されています*1

後者の代替手段として実務で広く使われているのが、SOC報告書(受託会社の内部統制の有効性について独立した監査人が評価した保証報告書)です。クラウド事業者やSaaSベンダーがSOC報告書を発行している場合、経営者はその報告書が十分な証拠を提供しているかを検討したうえで、自社の評価に活用できます*1。ただし報告書の対象期間や評価範囲が自社の決算期・業務範囲と一致しているかを確認しないまま流用すると、評価の空白期間や対象外領域が生じる点には注意が必要です。

クラウド移行が進むほど、委託先の統制状況を自社で直接検証できる範囲は狭まります。契約段階でSOC報告書の提出義務や監査協力条項を盛り込んでおくこと、委託先の変更・機能追加が自社の統制評価に影響しないかを定期的に確認することが、クラウド時代のIT統制対応で欠かせない視点になります。

LASSICに相談するメリット

LASSICは元請(プライムベンダー)として、システムの保守・運用を受託する体制を整えています。アクセス管理・変更管理・運用管理の証跡整備を含む保守運用の実務を継続的に担っており、IT統制対応で必要となる日常運用の記録づくりから相談可能です。

まとめ:IT統制対応を進める3つの判断軸

本稿では、J-SOX対応におけるIT統制の考え方と実務の進め方を整理しました。要点を3つに集約すると次の通りです。第一に、IT統制は情報システム部門だけの技術課題ではなく、財務報告の信頼性を左右する経営マターであり、内部統制の4つの評価対象すべてに横断的に関わります。第二に、IT統制はIT全社的な統制・ITGC・IT業務処理統制の3層で整理でき、ITGCはアクセス管理・変更管理・開発導入管理・運用管理の4領域が実務上の中心になります。第三に、範囲決定・整備状況評価・運用状況評価・不備の是正・文書化という順序で対応を進め、クラウド利用が広がる中では委託先の統制状況とSOC報告書の活用可否を早期に確認することが、対応の遅延を防ぐ判断軸になります。

よくある質問

IPO準備企業はIT統制にいつから着手すればよいですか。

上場申請の直前ではなく、上場準備期間の早い段階から着手することが望ましいです。ITGCの4領域(アクセス管理・変更管理・開発導入管理・運用管理)は、規程整備だけでなく運用の証跡を一定期間蓄積する必要があるため、直前対応では運用状況評価に必要な実績期間が確保できません。監査法人によるショートレビューの段階で評価範囲とスケジュールをすり合わせておくことが実務上の起点になります。

IT全般統制とIT業務処理統制のどちらを先に評価すべきですか。

先に評価すべきは全般統制です。全般統制は業務処理統制が有効に機能する環境を保証する位置づけであり、全般統制が機能していなければ、個々の業務処理統制の有効性を前提とした評価が成り立ちません*1。ただし全般統制が有効でも業務処理統制の有効性は別途評価する必要があり、どちらか一方の評価で済ませることはできません。

クラウドサービス利用時にSOC報告書がない場合はどう対応すればよいですか。

SOC報告書が提供されない場合は、サンプリングによる検証など別の方法で委託業務に係る内部統制を評価する必要があります*1。契約更新のタイミングでSOC報告書の提出を求める条項を盛り込む、あるいは委託先に対して評価に必要な資料の開示を依頼するといった対応を、早めに進めることが望まれます。

IT統制の不備が見つかった場合は開示が必要になりますか。

不備の重要性によって扱いが異なります。決算期末までに是正が完了し、是正後の運用状況を検証できれば、開示すべき重要な不備として扱われない場合があります。是正が期末に間に合わない場合や、財務報告への影響が大きいと判断される場合は、内部統制報告書での開示が必要になるため、不備発見後は是正の優先順位付けとスケジュール管理を速やかに行う必要があります。

IT統制対応を外部に委託する場合、どこまで任せられますか。

評価の最終的な責任は経営者にありますが、証跡の整備や日常運用のドキュメント化、アクセス権限の棚卸しといった実務作業は外部の保守運用パートナーに委託できます。委託する場合も、委託先自身の内部統制の評価が必要になる点は変わらないため、委託先の体制や報告書の提供可否を事前に確認してください。

著者:テレリモ総研編集部 鈴木 亮佑


ITアウトソーシング・システム開発のご相談はLASSICへ

元請(プライムベンダー)として、貴社の課題に合わせた体制構築・開発支援をご提案します。まずはお気軽にご相談ください。

無料相談はこちら

ご不明な点はお問い合わせフォームからもご連絡いただけます。

  1. *1 出典:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに実施基準」(2023年改訂)https://www.fsa.go.jp/singi/singi_kigyou/kijun/20230407_naibutousei_kansa.pdf
  2. *2 出典:経済産業省「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(2024年12月改訂)https://www.meti.go.jp/policy/netsecurity/docs/secgov/2024_ZaimuHoukokuNiKakaruITTouseiGuidance.pdf


View