NEC
JEITA ソリューションサービス事業委員会 副委員長
After J-SOX研究会運営委員
川井 俊弥
内部統制を評価する作業は、内部統制の見直しや再整備、システム化などの手段によって効率化できる。今回は、特にIT全般統制にかかわる強化と効率化に着目して、内部統制を情報システムで支える際に参考になる情報を提示する。同時に、ITツールを使った効率化について紹介する。
IT全般統制の管理・統制項目を表にまとめる
IT統制に関してはすでにご存じの方も多いと思う。大きく分けて、統制の対象となる業務プロセスごとに実施する「IT業務処理統制」と、全社を対象に実施する「IT全般統制」の二つがある(図1)。
ここではIT全般統制を強化・効率化する上で参考情報として、IT内部統制のための統制項目表(以下、IT内部統制項目表)を紹介したい。この表はダウンロードできるので、ぜひ実際にご覧いただきたい(文末の<資料>を参照)。
IT内部統制項目表は、JEITA(電子情報技術産業協会)ソリューションサービス事業委員会 IT内部統制専門委員会が作成した。NEC、富士通、日立製作所、OKI(沖電気工業)、東芝、日本ユニシスから選抜されたメンバーが、2006年度から3年をかけて作り上げたものだ。筆者はこの専門委員会で委員長を務めた。
IT内部統制項目表は、以下の四つの要件に基づいて作成されている。
- ITプロセスに応じた統制項目を、一般に妥当とされる基準と整合を保って体系化している。たとえば、ISACA(情報システムコントロール協会)とITGI(ITガバナンス協会)が策定したITガバナンスのフレームワーク「COBIT」と、経済産業省が策定した「システム管理基準」を組み合わせる
- 統制方法を、ITサービスの改善や品質向上の活動に寄与するレベルで提示している
- 金融庁が公表した「実施基準」(「財務報告に係る内部統制の評価及び監査に関する実施基準」)に記載された「システムの開発、保守に係る管理」「システムの運用・管理」「内外からのアクセス管理などシステムの安全性の確保」「外部委託に関する契約の管理」との対応付けを明確化する
- 企業の関心の高い、ITGIが体系化したCOBIT for SOXにおける業務レベルの12プロセス(アプリケーションソフトウェアの調達と保守、変更管理、システムセキュリティの保証、データ管理など)を対象とする
要件を見て分かるように、本表は世の中の標準を利用しているのが特徴である。経産省の「システム管理基準」の管理項目を使用し、「COBIT for SOX」の12プロセスについて、リスクと統制項目、ITツールによる自動化を整理し、実施基準との対応を明らかにしている。企業のIT部門の方々から、「網羅的な検証ができる」といった評価も頂いている。
IT内部統制項目表を構成する項目を表1に示す。管理項目の総数は134あり、統制項目として225件を例示している。
| NO | 項目名 | 説 明 | |
|---|---|---|---|
| 1 | システム管理基準 項目番号 |
「システム管理基準」(経済産業省)に記載している項目番号。分かりやすくするため、項目番号の下に内容を追記 | |
| 2 | 管理項目 | 「システム管理基準」の管理項目の内容 | |
| 3 | 発生リスク | 管理項目に記述した活動を実行しない場合に発生が予想されるリスクの例 | |
| 4 | 統 制 活 動 |
統制項目 | IT内部統制における統制項目の例 |
| 5 | 統制のタイプ | 統制活動にITツールが適用可能な場合は「自動」、人手を介する場合は「手動」 | |
| 6 | 利用ITツール | 統制活動に利用できるITツールの名称 | |
| 7 | 規程類等 | 統制のための基準やルールなどを記述する文書例 | |
| 8 | 実施基準対応 | 「財務報告に係る内部統制の評価と監査に関する実施基準」(金融庁)との対応付け。略語は以下の通り 開発:システムの開発、保守にかかる管理 運用:システムの運用・管理 安全:内外からのアクセス管理などシステムの 安全性の確保 外部:外部委託に関する契約の管理 |
|
企業のIT部門はIT内部統制項目表を使うことで、改善したいITプロセスにおける統制項目を確認する、統制したい業務基準やルールを作成する際の参考とする、ITツールによる効率化のヒントを得る、などが可能になる(図2)。
この表は業務部門にとっても役立つ。ITに関して実行すべき管理項目を把握でき、業務とITの連携を効率化する際の参考になる。
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
