JSOX ITGC/ITAC 支援サイト

IT統制は、内部統制の一部にすぎません（以下図解参照）。そして内部統制の目的は、会社法監査であれば監査手続の合理化、SOX監査であれば重要な虚偽表示リスクを適切に低減できる水準で内部統制が整備・運用されているかの確認にあります。会計監査やJ-SOXで取り扱われる「ITに係る内部統制」は、以下の図解等で整理されるように、複数の概念（情報処理統制、IT全般統制、IT全社統制など）で構成されます。

■ IT統制が評価対象となるケース

IT全般統制等の評価が必要となるのは、業務プロセスと内部統制を理解する過程で、ITを利用した内部統制やIT自動化統制（総称：ITへ依拠した統制）が、重要な虚偽表示リスクを抑制するうえで欠かせない（＝キーコントロール）と判断された場合です。

また、ITへ依拠した統制がキーコントロールである場合、システム処理が継続的に正しく動作していることを前提とする必要があります。

そのためには、次の点が重要となります。

• システム環境が適切に管理・運用されていること（IT全般統制）
• データの入力条件や出力条件が正しく設定され、信頼性が担保されていること（ITへの依拠を支えるマニュアル統制）

このような前提を確保するため、ITへの依拠を支えるマニュアル統制、IT全般統制（ITGC）、IT全社統制（ITELC）も合わせて評価する必要があります。

■ なぜ関連統制も評価セットになるのか

ITへ依拠した統制（ITAC等）をキーコントロールとして設定し、これに依拠する場合、その統制を支える周辺のIT統制も同時に整備・評価しなければ、全体として有効な内部統制が構築できるとはいえません。

• ITへの依拠を支えるマニュアル統制：データの入力条件や出力条件が正しく設定され、信頼性が担保されていることに係る統制等
• IT全般統制：プログラム変更管理、アクセス管理、運用管理など、継続的な安定運用に関わる統制
• IT全社統制：ITガバナンス、方針・責任体制、IT戦略など、企業全体のIT管理に関する統制

これは、これら周辺統制を評価しなければ、内部統制としての一体的な信頼性が担保できないためです。したがって、ITへ依拠した統制がキーコントロールとして識別された場合には、そのシステムに係るIT全般統制（ITGC）等の評価が必要になります。

• 【コア層】ITへ依拠した統制（青枠内）
  ・最もITに依存している部分です。
  ・① IT自動化統制（ITAC）：システムが自動で実行するチェック（例：必須入力チェック、承認ワークフローの自動制御）。
  ・② ITを利用したマニュアル統制：人がチェックするが、元データとしてシステムのアウトプット（帳票など）を利用するもの。
• 【サポート層】ITへの依拠を支えるマニュアル統制（青枠の下部）
  ・上の「コア層」が正しく機能する前提を担保するための、人によるチェックです（例：マスタ登録内容の承認、エラーリストの修正対応など）。これがあることで、ITへの依拠が成立します。
• 【独立層】マニュアル統制（グレー枠）
  ・情報処理（システム上のデータ処理）とは無関係な、純粋に人が実施する統制です（例：現金の実査、物理的な鍵の管理、方針の決定など）。

（ITに係る統制の俯瞰図）