コラム

Column

クラウド会計は“委託業務”として見る:監基報402で押さえる内部統制評価のポイント(SOC1 Type2の使い方)

Other
2026.01.16

【コラム】IT全般統制に「不備」があるとどうなるのか?

― 監基報315の考え方に基づく、リスク評価と実務対応を体系的に解説
内部統制の評価において、IT全般統制(ITGC)の不備は特に慎重な判断が求められる領域です。

監基報315は、内部統制に不備が見つかった場合、監査人はリスク対応手続(監基報330)にどのような影響があるか検討する必要があると述べています。

本コラムでは、ITGCの不備が情報処理統制に与える影響と、その際に求められる評価ステップを整理します。

■ 1. IT全般統制とは何か ― “情報処理統制を支える基盤統制”

監基報315によると、ITGCとは
「IT環境が継続して適切に運用されるためのITプロセスに関する統制」
とされています。

ここでいう“IT環境の継続的かつ適切な運用”には次が含まれます。

  • 情報処理統制(ITAC)が継続して有効に働くこと
  • システム内のデータが網羅的・正確・正当であること(インテグリティ)

具体的には以下の統制領域が該当します。

● ITGCを構成する主な領域

  • アクセス管理(ID、権限、職務分離等)
  • 変更管理(コード・設定の変更承認と記録等)
  • 運用管理(バックアップ、バッチ処理、ログ監視等)

これらはシステム個別ではなく、IT全体に横断的にかかる統制である点が特徴です。

■ 2. なぜ IT全般統制の“不備”は重大なのか?

ITACや各システムの内部統制が“一時点では”正しく動いていても、ITGCに不備があると、継続的な信頼性が損なわれる可能性があります。

例:典型的な影響

  • 変更管理に不備 → ロジックの無断変更を検知できない
  • アクセス管理に不備 → 権限のない利用者がデータを編集できる
  • 運用管理に不備 → バッチ処理や残高更新が正しく行われない

ただし重要な点として、ITGCの不備がある=即、すべての情報処理統制に依拠できないという意味にはなりません。
監基報315は、「その不備が情報処理統制の有効性に実際に影響しているかを評価せよ」という立場を取っています。
つまり、不備が“どの範囲に、どの程度”影響を与えるかを個別に分析しなければなりません。

■ 3. IT全般統制に不備が見つかった場合の実務対応(監基報315・A170-171)

監査人は以下の流れで対応を検討します。
内部統制報告書の評価者の場合も同様です。

◆ 対応①:不備を補完する他のITGCがないか確認する

監基報315は、識別した不備が重要な不備に該当するかは専門家の判断によるとしています。まず行うべきは、不備を軽減する別のITGCが存在しないかを検討することです。

  • 防止的統制(例:承認制御)に不備
    → 発見的統制(例:ログレビュー)が強力であればリスクが吸収される
  • 変更管理に不備
    → 変更ログの第三者レビューが適切ならリスクが低減される

このように、代替統制の有無を確認することで“不備の重大性”が変わる場合があります。

◆ 対応②:不備によるリスクが実際には発現していないことを確認する

ITGCに欠陥があっても、実際に問題が起きていなければ依拠可能と判断できるケースがあります。

具体例

変更管理統制に問題があるケース

  • 対象期間中にプログラム変更が1件も発生していない
  • 変更履歴(リビジョン情報)を確認し、設定やコードに変更がなかったことが確認できる

→ リスクが実際には発生していないことを証明する手続きを実施します。

◆ 対応③:情報処理統制(ITAC)のテスト範囲を拡大する

不備がITACに影響する可能性が高い場合、ITACのサンプル数・対象期間・検証手続を拡大します。

例:具体的な手続

  • 入力データと出力データを突合し完全性を確認
  • 抽出データの再計算(例:延滞判定、減価償却計算)
  • ロジックに依存するレポートの再作成テスト

影響範囲が広い場合には、より大規模なテストが必要になります。

■ 4. 不備は「単体」では軽微でも、組み合わさると重大になることに注意

監基報315では、複数の軽微な不備が積み重なると重要な不備に該当する場合があるという点に特に注意を促しています。

  • 形式的には承認フローがあるが、実際には形骸化している
  • 役職変更時の権限削除が遅れがち
  • ログレビューが十分に行われていない

これらが単体では「軽微」と見えたとしても、組み合わせることで深刻なリスクにつながることがあります。

■ まとめ:ITGCの不備は「単純な欠陥」ではなく、“波及リスク”として考えるべき

IT全般統制の不備は、

  • ITACの継続的な信頼性
  • システムデータの正確性・網羅性
  • 財務報告プロセス全体の健全性

に影響しうる重要な要素です。

リスク評価時点で不備が見つかった場合には、

  1. 代替統制がないかの確認
  2. リスクが実際に発現していないかの検証
  3. ITACのテスト範囲の拡大
  4. 実証手続の強化

という順で考える必要があります。

ITGCの不備は「即アウト」ではありませんが、

不備の波及範囲を丁寧に分析し、必要な補完手続きを実施することが不可欠です。

«
»

コラム一覧

当社のサービス・ご相談
は下記よりお問合せください。