コラム

Column

IT全社統制、ITGC、ITACの関係

General
2026.01.16

IT統制は三層構造で、ITELC、ITGC、ITACの3つで構成されます。
シンプルに表現すると、次のとおりです。

  • IT全社統制(ITELC):会社全体のITの「ルールブック」
  • IT全般統制(ITGC):そのルールどおりにシステムが動き続けるための「土台」
  • IT自動化統制(ITAC):その土台の上で、業務処理を自動化して正確性を担保する「仕組み」

① 「IT全社統制(ITELC)」

最も広いレイヤーに位置づけられるのが IT全社統制(ITELC) です。
これは企業全体の IT に関する方針・責任体制・企画・投資判断など、
ITガバナンスの方向性を決める統制であり、組織横断的に影響を与えます。

  • IT方針や基準の策定
  • IT戦略と業務戦略の整合性
  • ITリスク管理
  • セキュリティポリシー
  • ITプロジェクト管理、要員教育

など「会社としてITをどう扱うか」の根幹を決める領域です。
これは ITGC や ITAC の処理ロジックに直接影響はありませんが、
下位の統制( ITGC や ITAC )が整備・運用される“前提条件”を作る役割を果たします。

②「IT全般統制(ITGC)」

ITELC に基づいて整備されるのが IT全般統制(ITGC) です。
ITGCは、システムが“正しく動き続けること”を保証するための統制です。

  • アクセス管理(ID/権限/職務分離等)
  • プログラム変更管理(コード管理・テスト・本番環境への移行等)
  • 運用管理(バックアップ、バッチ、障害対応等)
  • ログ管理、ジョブ管理
  • インフラ管理、セキュリティ管理

これらは システムに組み込まれた IT自動化統制(ITAC)が、継続的にブレなく動くための土台 です。
つまり ITGC は

「ITAC の信頼性を支える“裏方の統制”」
という位置づけになります。

「IT自動化統制(ITAC)」

ITAC は、業務プロセスの中で特定の処理をシステムが自動実行する統制です。

  • 入力チェック(必須項目・フォーマット・整合性)
  • マスタ照合
  • 自動計算(減価償却、為替換算処理等)
  • トータルチェック
  • システム内の例外検出

など、財務報告の信頼性を直接支える“現場の統制”です。
ITACは、実際に財務数値の正確性に直結するため、内部統制の「キーコントロール」となることが多い領域です。

IT統制は、

  • 業務処理統制(ITへの依拠)
  • IT全般統制(ITGC)
  • IT全社統制(ITELC)

という三つのレイヤから構成されており、これらは 「下から上へ」支え合う構造になっています。

すなわち、最も上位に位置する 業務処理統制(ITへの依拠) が、個々の業務プロセスの正確性を直接担保し、その業務処理統制が継続的に正しく機能するために IT全般統制(ITGC) が基盤を支え、さらに ITGC が適切に整備・運用されるためには、企業全体の方針やガバナンスを司る IT全社統制(ITELC) が土台として存在する、という関係です。

つまり、誤解をおそれずに言えば、次のように整理できます。

  • 業務処理統制(ITへの依拠)は、財務報告の正確性を直接担保する最前線である
  • その業務処理統制が安定して機能するためには、ITGCが適切に運用されている必要がある
  • さらにITGCが有効に運用されるためには、企業全体としてのIT方針や統制環境(ITELC)が整っている必要がある

■ 評価範囲決定の流れ(ITAC⇒ITGC⇒ITELC)

  • まず「業務処理統制(ITへの依拠)」の必要性を判断し、キーコントロールとして重要であれば、
    → その前提となる ITGCを評価する必要が生じます。
  • ITGCを評価する際には、その土台として ITELCの整備状況が影響するため、ITELCの理解・評価も不可欠です。
  • 最前線(ITへの依拠)の有効性は、土台の安定性に支えられています。

■ 検証の流れ(ITELC⇒ITGC⇒ITAC)

上流(ITELC/ITGC)で「依拠してよい前提」を固めてから、下流(ITへの依拠)に進むことで、評価範囲がブレにくくなり、テスト過多や手戻りが起きにくくなります。

  • ITELCは、方針・責任体制・標準化・監督など、「会社としてITをどう統制するか」を定める土台です。ここが弱いと、ITGC(アクセス/変更/運用など)の設計や運用もブレやすく、後から「この統制は信頼できない」という判断につながりがちです。先にITELCを確認しておくことで、ITGCの評価で見るべき論点が絞れ、再評価を減らせます。
  • ITへの依拠(ITAC)は、「システムが継続して正しく動く」ことが前提です。ITGCが有効(特に変更管理・アクセス管理が強い)であれば、ITへの依拠の評価は合理化できます(例:サンプルを抑えられる等)。一方、ITGCが弱い場合は「継続性の裏付け」を取りにくく、追加テスト(再計算・突合・実証手続寄り)が必要になりがちです。先にITGCを評価しておくことで、ITへの依拠で「どこまでやるべきか」を最初から適正化できます。
«
»

コラム一覧

当社のサービス・ご相談
は下記よりお問合せください。