内部統制に取り組む企業において、IT部門が果たすべき役割は大きい。内部統制の構成要素である全社統制、業務処理統制、IT全般統制のそれぞれに対して一定の役割を担い、大きな責任を持つ。本連載ではIT部門が主役となる「IT全般統制」について、基本的な考え方や統制構築の要点を解説する。

IBM ビジネスコンサルティング サービス

 ビジネスとITの関係は、近年の急速な技術の進化でより密接なものとなりました。今日のビジネスにとってITは間違いなくその重要な一部を構成しています。ITの重要性が内部統制に影響を与えていることは、日本版SOX法の基準案で「ITへの対応」がうたわれていることからも明らかです。内部統制を有効に機能させるという観点で、IT部門の役割は非常に高まっています。

 IT部門が内部統制に関して持つべき役割は、内部統制の構造にマッピングすることが可能です。

(1)全社統制においては、IT戦略策定、IT組織の役割、品質管理方針の策定などの役割を持つ。
(2)業務処理統制においては、アプリケーションによる統制の整備、文書化、評価などの活動を支援する役割を持つ。
(3)IT全般統制においては、その全体に対して、構築、運営、文書化、評価などを実施する責任を持つ。

 IT部門は内部統制のそれぞれの構成要素に対して一定の役割を担っています。ここでは、このうち特にIT部門が主役である「IT全般統制」を取り上げ、その考え方や統制構築における要点を解説します。

内部統制を支えるIT全般統制

 ITに関する内部統制を全般統制と業務処理統制に分類する考え方は、古くは一九七〇年代からシステム監査基準における概念として定義されていました。現在、内部統制のフレームワークとして広く参照されているCOSOフレームワークでは、構成要素の一つである統制活動の中で情報システムに対する統制を以下のように定義しています。

全般的統制は、すべてのアプリケーション・システムに適用されるわけではないが、多くのアプリケーション・システムに適用され、また、それらが継続的に、かつ、適切に機能していることを保証するのに役立っている。全般統制には、情報処理センター業務、システム・ソフトウエアの取得と保守、アクセス・セキュリティおよびアプリケーション・システムの開発と保守に対する統制が含まれている(内部統制の統合的枠組み-理論編)

 また、日本の公認会計士協会の財務諸表監査に関するIT委員会報告第三号では、「全般統制は取引、勘定残高及び開示における情報の信頼性を確保すること、及び業務処理統制の継続的な運用を確実にすることを間接的に支援するもの」であり、具体的には、ネットワークの運用管理、システム・ソフトウエアの取得および保守、アクセス・コントロールやアプリケーション・システムの取得・開発および保守に関する統制活動を含むとされています。

 一方、米国のSOX法におけるPCAOB(公開企業会計監視委員会)の監査基準第二号の中では、多くの統制目標の達成に広範な影響を与えるITの統制をIT全般統制とし、(1)プログラム開発、(2)プログラム変更、(3)コンピュータ・オペレーション、(4)プログラムとデータへのアクセス――の四項目に対する指針を提供しています。

 ここに挙げた三つの定義は、対象範囲の表現こそ多少異なっていますが、意味するところは、ほぼ同一であるといってよいでしょう。つまりIT全般統制とは、ITを利用した業務処理統制が有効に機能する環境を保証する間接的な統制であり、その対象範囲としては開発、変更、運用・保守、アクセス管理などが含まれるということです。

 IT全般統制が対象としている、開発、変更、運用・保守、アクセス管理などは、まさにIT部門にとっての日常的業務そのものです。内部統制を確立していくことは、IT部門の業務自体を可視化し、整備していくことにほかなりません。では、IT部門はIT全般統制に対してどのようなアプローチで取り組めばよいのでしょうか。次節では、まずIT全般統制におけるフレームワークについて解説します。

IT全般統制のフレームワーク――COBIT

 米国のSOX法では、企業が適切な内部統制のフレームワークを選択することを求めています。一般的に、内部統制全般のフレームワークとしてはCOSOフレームワークが採用されています。しかし、COSO自体はITに関して十分な詳細度とカバレージを提供していないため、多くの企業がITに関する追加のフレームワークの必要性を認識していました。そこで参照されたのがCOBITです。

 COBITは、ISACA(情報システムコントロール協会)とITGI(ITガバナンス研究所)が作成した「ITガバナンスを確立するためのフレームワーク」であり、多くの国際企業が導入を進めています。COBITでは、IT戦略から調達(開発)・運用・評価までのITマネジメントのプロセスを「計画と組織化(PO)」「調達と導入(AI)」「デリバリとサポート(DS)」「モニタリングと評価(ME)」の四つのドメインと、さらにそれを細分化した三四個のプロセスで定義しています(図1)。また、内部統制のフレームワークであるCOSOに準拠しており、米国SOX法の施行を契機に、ITの内部統制を確立するためのモデルとして再び脚光を浴びています。米国のSOX法対応では、約半数以上の企業がITに関するフレームワークとしてCOBITを採用したとの調査結果があります(注1)。

図1●IT全般統制のフレームワーク―COBIT
図1●IT全般統制のフレームワーク―COBIT
[画像のクリックで拡大表示]

 COBITは、成熟度モデルを採用しており、現状の評価や弱点の把握、そしてその克服に打つべき対策を検討するのに有効なものになっています。成熟度モデルでは、プロセスの成熟度を、0から5までのレベルで定義しています。以下にCOBITが定義する成熟度レベルを示します(COBITマネジメントガイドラインより)。

レベル0=不在(プロセスがない)
レベル1=初期(場当たり的)
レベル2=反復(標準的パターンあり)
レベル3=定義(文書化、周知されている)
レベル4=管理(モニタリングされている)
レベル5=最適化(ベストプラクティス、自動化)

 成熟度モデルは、企業が段階的に内部統制の確立を目指す際の指針を提供します。ちなみに米国のSOX法対応では、主要な統制活動に対してレベル3、すなわち「組織として定められたプロセスがある」状態が一つの達成目標の目安となっています。

COBIT for SOX

 ISACAとITGIは、米国SOX法向けに、IT全般統制の項目を「財務報告の信頼性に影響を与える統制項目」に絞り、さらにCOBITが元々対象としていなかったIT業務処理統制の統制項目例も含んだ「ITコントロール・オブジェクティブズ・フォー・サーベンス・オクスレー」を二〇〇二年7月に作成しました(注2)。これが、通称「COBIT for SOX」と呼ばれるもので、ITに関する米国SOX法対応の有用なガイドラインとして、多くの企業で参照されています。

 このガイドでは、財務報告に影響を与える業務レベルの統制として、「調達と導入(AI)」「デリバリとサポート(DS)」のドメインを中心に一二の統制目標を定義し、COBITプロセスとの対応や、PCAOBのIT全般統制の四カテゴリーとの関連付けを行っているほか、プロセスごとに統制目標やテストの例などがまとめられています(図2)。また、「計画と組織化(PO)」「モニタリングと評価(ME)」を中心とした一〇のプロセスについては、全社レベルの統制として定義され、実施状況確認のためのチェックリストが添付されています。

図2●COBIT for SOX―財務報告に影響を与えるプロセス
図2●COBIT for SOX―財務報告に影響を与えるプロセス
[画像のクリックで拡大表示]

 以下、PCAOBの四カテゴリーと、それにマッピングされたCOBITの各プロセス(業務レベル)をベースにIT全般統制に関する具体的な取り組みを見ていくことにします。

IBM ビジネスコンサルティング サービス
フィナンシャル マネジメント/アプリケーション イノベーション
【著者紹介】
中澤 進(なかざわ すすむ) 取締役 パートナー
海上 和幸(かいじょう かずゆき) アソシエイト・パートナー/公認会計士
後藤 智彰(ごとう ともあき) マネージング・コンサルタント
松尾 美枝(まつお みえ) マネージング・コンサルタント
原 隆也(はら たかや) マネージング・コンサルタント
黒川 敏幸(くろかわ としゆき) アソシエート・パートナー
大田 敬三(おおた けいぞう) マネージング・コンサルタント
渡部 直人(わたべ なおと) マネージング・コンサルタント
菊永 孝彦(きくなが たかひこ) ビジネス・アソシエイツ
深澤 義行(ふかさわ よしゆき) マネージング・コンサルタント

出典:「プロジェクト現場から見た内部統制~実務者が語る日本版SOX法対策」(IBM ビジネスコンサルティング サービス著,日経情報ストラテジー編集,日経BP社刊)より(詳細情報はこちら)