ITに係る全般統制(ITGC)とは
- ITGC
- 2026.01.16更新
― 情報処理統制やレポートの信頼性を支える“基盤統制”とは?
内部統制の中で IT 全般統制(ITGC)は「裏方」に見えますが、実は企業のIT環境が安定して動き続けるための“基礎体力”のような存在です。J-SOX では ITGC を明確に定義し、監査でもその有効性の評価が求められています。
ここでは、定義 → 評価の意義 → 実務上の留意点 の3つに分けて整理します。
1. IT全般統制の定義
ITGC は、企業の情報システム全体が継続的かつ適切に運用されることを保証するための統制です。
企業の IT プロセスのうち、
- アクセス権の付与・削除・見直し
- プログラムや設定変更の管理
- バッチ処理・バックアップなどの運用管理
といった“IT 全体を動かす仕組みそのもの”が評価の対象になります。
これらは個別のアプリケーションではなく、情報処理全体の品質(網羅性・正確性・正当性)を支える共通基盤です。
2. IT全般統制を評価する意味
ITGC評価が必要となる理由は、大きく分けて次の2つです。
(1) 情報処理統制(ITAC)を継続的に有効に機能させるため
ITACがどれだけ優れた自動統制であっても、背景の ITGC が弱ければ意味を失います。
たとえば、
- プログラム変更が無断で行われる
- 設定が書き換えられても検知できない
- IT担当者の権限が広すぎる
といった状況では、“正しいはずの自動統制”がいつの間にか不正確になる恐れがあります。
つまり、ITGCはITACの継続的な信頼性を支える土台です。
(2) 情報のインテグリティ(データの品質)を担保するため
企業が作成したシステムデータやレポート(例:延滞債権、滞留在庫、売上レポートなど)を監査証拠として利用する場合、そのデータが“正しく生成され、改ざんされていない”ことが求められます。
この信頼性を担保する要素のひとつが ITGC です。
例
- レポート抽出ロジックに未承認変更が入る
- レポート生成後にデータを書き換えられる
- 権限のない利用者がテーブルを更新できる
これらのリスクはすべて、ITGCが弱いと顕在化します。
3. IT全般統制を評価する際の実務上の留意点
ITGC評価は形式的な作業ではなく、企業がどのようにITを使い、どんなリスクにさらされているかを理解するところから始まります。
(1) “リスクとITの使い方”から評価対象を特定する
企業が利用しているアプリケーション構成、クラウドの有無、外部委託範囲などを理解し、どのITGCが重要なのかを明確にします。
例:
- SaaSの場合:プログラム変更はベンダ側 → ユーザー側統制が重要
- オンプレの場合:自社による変更管理が中心 → 変更管理統制が重要
(2) ITGCの運用評価も手作業統制と同じく“サンプリングと残余期間”が必要
ITGCは「継続的な運用」が前提のため、
- 発行・変更・削除といったアクセス管理手続のサンプルテスト
- 期中に評価した場合、期末まで変更がないかのロールフォワード確認
など、“実際に運用されていたか”を検証する必要があります。
(3) ITGCが有効でも、情報処理統制(ITAC)が自動的に有効とは限らない
ITGCはあくまで“基盤”であり、ITACの有効性評価は別途必要です。
理由:
- ITAC自体の設計が誤っていれば基盤が強くても意味がない
- 設定ミスや例外処理の不備はITGCではカバーできない
したがって、ITGCの評価のみでITACの妥当性を判断することはできません。
(4) ITGCを評価しない場合、ITAC側のテストを強化する必要がある
もしITGCの評価を行わない、または弱いと判断される場合、下流の統制(ITAC・レポート)を詳細にテストしなければ十分な証拠が得られません。
例:
- 自動計算の再実施(再計算)を増やす
- 抽出レポートのデータ完全性を直接検証する
- サンプル数を増やす
つまり、ITGCが弱い=他の統制で補う必要があるということです。