アビームコンサルティング
フェロー
徳田 弘昭

 この文をお読みの皆さんは,「IT統制」あるいは「システム統制」という言葉に対して,どのような印象をお持ちでしょうか。いわゆるJ-SOX(日本版SOX法)をきっかけに内部統制の一環としてIT統制をとらえている方も多いでしょう。

 IT統制の目的は,J-SOXへの対応にとどまりません。もっと広く,情報システムにかかわるトラブルを防いだり,システムを真の意味でビジネスを支える道具として利用できるようにすることも大きな狙いです。

 ところが「IT統制とは何か」を解説した書籍や記事は数多く見かけますが,経済的で,かつ実務で使える形で,IT統制を整備・運用するための具体策を示したものは,筆者の知る限りほとんど存在しません。

既存の仕組みを使って「経済的」に進める

 特に重要なのは「経済的」という観点です。未曽有の不況が続くなか,多くの企業がIT投資を抑制しているのが現状でしょう。この経済状況がすぐに回復するとは思えません。いかにムダなく,余計なコストや手間をかけずにIT統制を実現するか。この点が非常に大きなポイントになります。

 内部統制についても同じことが言えます。J-SOXに対応する際に,「新たに内部統制の仕組みを導入する」という考え方で作業を進める企業が多いようです。しかし,内部統制は本来,明示されているかはともかく,企業や組織には例外なく導入されているものです。例えば,「小切手帳を所有しているのは社長だけ」「配達員には集金をさせない」といったことは,典型的な内部統制です。

 しかも,J-SOXが求めるような「勘定や拠点によって絞り込まれた財務報告の信頼性を高めるための統制」だけが内部統制ではないのは,皆さんもよくご存じでしょう。内部統制は本来,もっと多面的なものです。

 内部統制の事実上の国際標準であるCOSOフレームワークでは,内部統制の目的として「財務報告の信頼性」に加えて,「業務の有効性と効率性」と「コンプライアンス(法令順守)」を挙げています。J-SOXの「基準(正式名は「財務報告に係る内部統制の評価及び監査の基準」)」では,さらに「資産の保全」を挙げています。

 これらの目的にかなうように内部統制をゼロから整備しようとすると,膨大な手間とコストがかかってしまいます。これまでの内部統制の仕組みをできるだけ生かしつつ,見直しを図ることで,J-SOXへの対応といった特定の目的に対応できるようにする。このアプローチが現実的でしょう。

 筆者はこれまで約35年の間,IT戦略の設定からアプリケーションの開発,ソフトウエア管理用ツールの開発,システム監査まで,IT統制にかかわる様々な経験を積んできました。この連載では筆者の経験を基に,経済的で,かつ実務に使えるIT統制の進め方を解説していきたいと思います。

 今回と次回では,IT統制にかかわる現状や問題点を整理します。第3回から具体的なIT統制の整備方法を説明したいと思います。

システム・トラブルが減らない理由

 景気がどうであれ,情報システムにかかわるトラブルが後を絶たない状況は変わりません。最近では,社会保険庁が2009年4月3日に送付を始めた「ねんきん定期便」のうち,計3万1650人分に記載ミスが発覚しました。原因はプログラムの誤りだといいます(関連記事)。ほかにも,東京証券取引所やANA(全日本空輸)などの大規模なシステム障害も記憶に新しいでしょう。

 情報システムを実現するための技術が高度化しているにもかかわらず,なぜシステム・トラブルは減らないのでしょうか。いくつかの理由が挙げられます。

(1)機能が高度化・複雑化しており,全体像を把握しにくい

 情報システムの機能は高度化・複雑化しており,全体像が把握しにくくなっています。これがトラブルにつながる大きな要因となっています。

 機能が高度化・複雑化しているという傾向は情報システムに限りません。自動車からスペースシャトル,建築物まで,多くの製造物・制作物に当てはまります。昨今の世界不況につながったサブプライムや金融商品も,基となっている理論が複雑で全体像が見えにくい点は同じです。情報システムはこの傾向が特に顕著だと言えます。

(2)中身が見えない

 情報システムは機能が高度化・複雑化していることに加えて,「中身が見えない」という特徴があります。ソフトウエアの占める割合が圧倒的に大きいからです。ソースコードを見れば中身を確認できますが,多くの人が理解できるわけではありません。このため,品質の欠陥があっても,つい気付かずに放置してしまう可能性が生じてしまいます。

(3)標準が粗い

 情報システムの世界でも,もちろん標準が存在します。しかし,機械製品や建築物に関する標準に比較すると,標準化の水準は圧倒的に遅れています。特にソフトウエアの作成方法そのものが変化・進化しているので,標準の安定性を欠いたり,あいまいで抽象的な標準しか作成できないのです。

(4)エラーの発生を完全には回避できない

 情報システムでは,バグ(不具合)の発生を完全に回避することはできません。パッケージ・ソフトの購入契約書には,ほぼ例外なく「…の責任はソフトウエア制作者には一切無い」といった主旨の文言が含まれているのは,このためです。

 情報システムの規模が巨大化するにつれて,以上の4点はより顕著になります。そうなると,システムのトラブルを回避するのは一層困難になってしまいます。

 しかし,情報システムの重要性が高まっている現状では,システム・トラブルが社会全体に及ぼす影響の大きさは無視できません。先に挙げた情報システムの特徴を踏まえつつ,「システムを“見える化”して全体像を理解しやすくした上で,システムに発生し得るトラブルを予見し,事前に適切な対策を実施できるようにする」アプローチが必要になります。それが,この連載の主題であるIT統制の役割です。