上場企業や独立行政法人の会社で必ず行われる監査ですが、その中に含まれるIT統制をご存知でしょうか。
IT統制は、内部統制の中に含まれる情報システムに関連するもので、適正に構築・運用が行われているか実施状況の監視が求められます。
監査の際は、業務で使用しているシステムに問題がないかなどのチェックが入り、指摘が入ることもあります。
今回は、上場を目指している企業に向けて、監査対象となる重要なチェックポイントを解説していきます。
IT統制とは
IT統制とは、組織で使用している情報システムの運用や管理に問題がないか監視するものです。
会社の規模が大きくなると、多くのITシステムを使用することになりますので、少しでも不備があると大きなトラブルにつながります。
もし、上場企業のシステムがダウンしてしまうと、株が暴落してしまうなどの事件に発展する可能性があります。
そのため、会社の規模に合わせて、正常にシステムを運用・整備することが必要です。
監査法人は、このようなトラブルが起こらないよう、定期的な検査としてIT統制をチェックしています。
内部統制の目的
正しく事業を運営していくために必要な仕組みや取り決めを内部統制といい、IT統制はその中の一つです。
内部統制は、事業を行う上での業務を効率的かつ有効にする目的や、財務報告の信頼性を示すためにあります。
さらに、法令や会計基準などをしっかりと守り、資産を正しく取得・使用・処分が行われるようにするための役割があります。
内部統制の目的に準じた運営を行うことで、社会的にも株主や取引先から信頼を得られるようになり、組織の活性化につながります。
ここからは、IT統制にも深く関係のある内部統制の4つの目的について見ていきましょう。
業務の有効性及び効率性
内部統制は、事業を行う上での有効性や効率性を高める目的があります。
企業が目標を達成するためは、現存する経営資金や社員などのさまざまな資源を効率的に使わなくてはいけません。
また、業務の有効性のためには大まかではなく、社員一人一人の業務内容に目標を決める必要があります。
そして、定めた目標に沿って業務ができているかをチェックするのも目的の一つです。
これらをチェックすることで、業務の有効性や効率性が合理的に行われているか確認できる機会が生まれます。
財務報告の信頼性
財務報告の信頼性については、組織内だけではなく株主など外部の方からの信頼を得るためにも重要です。
また、財務報告書に正しい情報を載せ、自主的に開示することで社会的な信頼を得ることができます。
これは、不正な内容を財務報告に記載し、組織だけでなく関係のある人達に多くの損害を与えないためにも重要です。
もし、虚偽の内容を記載していた場合、株主や金融機関にも大きな損害を与えてしまうことになります。
このような損害を発生させないためにも、財務報告の信頼性はとても重要であり、正確性が求められる内容です。
事業活動に関わる法令等の遵守
事業活動に関わる法令等をしっかりと守ることで、企業の信頼と業績の向上が期待できます。
もし、企業が法令を守らないと、社会的信頼が落ちるだけでなく、罰則を受ける可能性があります。
社会的に信頼が落ちることで、最悪の場合は倒産する可能性も考えられます。
そのため、法令等を遵守しているかを確認し、正しい体制で運営することが求められます。
ただ、企業が守るべきなのは、国内外の法令・組織内外の行動規範などさまざまで、正しい知識を持って遵守する必要があります。
上場を目指すのであれば、信頼のできる専門家に依頼し、法令順守できているか確認すると安心です。
資産の保全
資産を保全することは、健全な企業活動を行うために必須となる項目です。
資産の取得や処分が正しく行われないと、組織としての大きな損害を被る可能性があります。
また、資産については組織内で使用している機器等の有形の物だけでなく、知的財産、業務データなどの無形資産も含まれます。
例えば、新商品開発などの情報が漏えいしてしまった場合、資産が保全されず大きく利益が落ちてしまいます。
それだけではなく、情報漏えいは会社のセキュリティの甘さでもあるので、社会的信頼も落ちてしまうため、注意が必要です。
そのため、資産を保全することは会社の利益を守ることにもつながります。
監査法人が特にチェックするポイントとは?
監査法人が注視するポイントは業種によって変わるため、必ず決まっているわけではありません。
ただし、基本的な部分は同じですので、事前にシステム管理の体制を整えておくことは可能です。
監査法人は主に「不正な取引がないかどうか」「システムの不具合がないかどうか」をチェックしています。
システムを私用で使えないようになっているか、セキュリティホールや設計ミスがないかなどの確認が基本です。
ここからは、監査法人が具体的にチェックするポイントについてご紹介していきます。
監査法人のチェックリスト例
監査法人のチェック項目としての具体的な例は、「パスワード設定が強固か」「データの復旧ができるか」「使っていないネットワークを遮断しているか」などです。
さらに、発注から承認までのプロセスが、適切に管理されているかもチェックされます。
通常とは異なる方法でシステムを操作し、承認プロセスが突破できるような設計になっていないかチェックすることもあります。
強固なパスワードの設定
強固なパスワード設定は、セキュリティ対策の基本です。
ITシステムを使うのであれば、パスワードに英字、数字、記号を全て含むものを設定するように徹底しましょう。
さらに、パスの有効期限が1ヶ月の場合、「2つのパスを交互に使用していないかどうか」も確認してください。
有効的な対策としては、過去13世代(1年間)で使用したパスは使えないようにルールを決めて徹底した管理を行いましょう。
データの復元・復旧対策
次に、データの復元・復旧対策を取っているかも確認されることがあります。
これは、定期的なバックアップを取り、データが消失しないよう管理しているかどうかを確認されることがほとんどです。
確認内容としては、故障や人為的なミスによってデータが消失した場合、最新の状態まで戻せるかどうかが重要になります。
万が一、このようなトラブルが発生した際、速やかにデータを元に戻さないと業務が滞ってしまいます。
そのため、データの復元・復旧の体制がしっかり整っているかどうかを重要視されます。
使用していないネットワークの遮断
使用していないネットワークを遮断することは、セキュリティ対策として非常に重要です。
そのため、組織内すべてのネットワークをチェックし、使用していないポートを閉じているかどうかを定期的に確認しましょう。
また、普段使う通信以外は遮断することで、不正アクセスの侵入を阻むことができます。
使用していないネットワークをそのままにしていると、管理が行き届かずセキュリティホールができてしまい、外部から侵入される恐れがあります。
ポートを閉じていないと他者によって業務外のツールを動かされる可能性もありますので、大変危険です。
このようなトラブルは業務に多大な影響を与えてしまうため、しっかりと管理しておきましょう。
発注から承認までのプロセスの管理
発注から承認プロセスまでの管理が徹底されていて、誰でも簡単に発注できるようになっていないかを確認します。
また、予想外の操作をすることによって、承認プロセスを突破できるような設計になっていないかどうかもチェックしています。
第三者が勝手に発注や承認を行えるようなプロセスだと、不正な取引が行われてしまう可能性があります。
そのため、プロセス管理のルール設定をしておき、決められた方法以外では操作できないようにしておきましょう。
IT統制における情シスの役割とは
IT統制には、セキュリティ対策や業務におけるプロセス管理などがあり、主に情シスの役割とされる業務ばかりです。
業務で使用するITシステムのパスワード管理やデータのバックアップなどは、情シスが主体となって管理しています。
そのため、情シスが業務のプロセスや使用するシステムを正しく管理し、ルール設定を行っているか確認する必要があります。
情シス部門は日ごろからIT統制を意識し、業務改善やルール設定などを行うようにしましょう。
IT統制に関するお悩みはアウトソーシングで解決
監査では、事前にこれをしておくと安心ということは無く、日頃の業務を適切に管理しなくてはいけません。
また、監査で指摘されたことに対して、明確に答えられる人が必要となりますので、立ち会いの人選は慎重に行いましょう。
こだまシステムでは、政府系金融機関のシステム開発・管理を行ってきたノウハウを活かして、株式上場をサポートしています。
監査の際の受け答えに対しても、システムの専門家としてサポートすることが可能です。
これから上場しようと考えている方や、IT統制についてお悩みの方は、ぜひこだまシステムのアウトソーシングをご検討ください。
