IT内部統制の概要と情報システムの姿

ITpro Watcher

2006.05.09

　今回は，IT内部統制の概要を説明しましょう。

「チョット，言わせて」コーナー：内部統制には，ITが不可欠というが。

　「内部統制には，ITが不可欠である」との言葉を聴く機会が増えています。このことは，日本版COSOフレーム（12月8日付，企業会計審議会の「財務報告に係る内部統制の評価および監査の基準のあり方について」のことで，基準案と呼ばれる）に定義されています。

　詳しくは，以下の企業会計審議会のサイトで参照できます。

http://www.fsa.go.jp/news/newsj/17/singi/f-20051208-2.html

　この基準案を見ている限りでは，具体的なイメージは，つかみにくいといってよいでしょう。もう少し，具体的なイメージは，近く，実施基準が発表されるということでもあり，それを待つことになりますが，現在のところ，分かる範囲で説明したいと思います。

内部統制の基本的要素にある「ITへの対応」とは

　「ITへの対応とは，組織目標を達成するためにあらかじめ適切な方針および手続きを定め，それを踏まえて，業務の実施において組織の内外のITに対し適切に対応することをいう。」（上記，基準案）とあるように，前回説明した内部統制の4つの目的である「業務の有効性と効率性」「財務報告の信頼性」「関連法規の順守」「資産の保全」のいずれを実現する場合においても，このITへの対応が必要であるというのが，日本版COSOフレームの定義です。

　ITへの対応は，(1)IT環境への対応，(2)IT全般統制，(3)アプリケーション統制（(2)と(3)は，ITの利用および統制でくくられているものの）の3つの分野で示されています。次に，この3つの統制内容を概観しておきましょう。

1.IT環境への対応

　インターネットの普及，携帯電話，情報家電，ICタグなどに代表される生活と企業経営の両面で優れた情報機器の発展が見られ，光通信，地上波デジタルなどの新しい情報通信網の整備などユビキタスインフラが急速に整いつつあります。

　このようなIT社会に対応して，統制目的を実現するためのIT活用の状況が問われています。すなわち，それぞれの組織が，組織目標を実現する上で，必要なITの利用範囲と方針，その決定手順と評価方法などをあらかじめ定め，これに従った(1)取引先や顧客とのIT利用度，(2)組織のITの活用度，(3)情報システムリスクの管理状況，などを評価することが求められます。

　この評価に当たっては，個々の業務プロセスごとに他の内部統制の構成要素との関連で評価する必要があることは言うまでもありません。

2.IT全般統制（ITの利用および統制）

　「ITの利用および統制とは，組織内において，内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること，並びに組織内において業務に体系的に組み込まれて様々な形で利用されているITに対して，組織目標を達成するために，あらかじめ適切な方針および手続きを定め，内部統制の他の基本的要素をより有効に機能させることをいう」（上記，基準書）

　この分野の基準案の説明は，少々漠然としています。

　そこで，SOX法が推奨するCOSOフレームを参考に説明を加えると，以下の内容が必要とされていることがわかります。主なものだけをあげると，

1.情報処理センター業務として，(1)ジョブの段取りと割り付け手順，(2)オペレータの業務，(3)バックアップと復旧手順，(4)実行ログは自動でシステムの中に保持されること。

2.システム・ソフトウエアの管理として，(1)システム・ソフトウエアの有効かつ正当な取得を管理する，(2)システム利用者のログが記録・報告されること，などがあります。

　1と2の分野では，ITILが有効とされます。

3.アクセスセキュリティの管理として，(1)承認を受けた者が承認を受けた一定のアプリケーション機能だけを利用することを許可する，(2)利用者プロファイルは頻繁，適時に更新するなど。ここでは，ISO27001が有効とされます。

4.アプリケーション・システムの開発と保守として，(1)適切な方法論を実行する，(2)変更には申請と承認が必要であるなど。ここでは，COBITが有効とされます。

　ここでは，ITプロジェクト管理が，重要な課題であり，PMBOKなども大いに参考にしたいところです。

3. アプリケーション統制（ITの利用および統制）

「財務報告の信頼性」という統制（コントロール）目標を達成するために，必要なアプリケーション統制の例をあげてみましょう。

すなわち，会計データについてみると，

「完全性・網羅性」；入力すべき会計データが，完全かつ漏れなく入力されていること。
「正当性」；組織で定めた規定にのっとり承認され処理されていること。
｢正確性｣；適確に勘定処理され，誤データは，正当に訂正がされていること。
「維持継続性」；マスタファイルなどファイル情報は，正当に維持継続されていること。

が，主なコントロール目標といえます。

　また，具体的な統制活動の主な内容は，(1)データ入力時のチェック機能，(2)入力ミスを発見し正当に訂正する，(3)承認者の権限・パスワードの管理，(4)権限者を含むすべての利用者の利用記録とその保存，などがあげられます。

　まだまだありますが，リスク評価の結果に応じたリスクの識別と，それに相応しい統制活動を定め，実施していることだけでなく，それぞれの実施手順をテストすることで評価しておくことが，求められるのです。

　テストを実施して内部統制システムを評価しておくことは，「IT環境への対応」「IT全般統制」「アプリケーション統制」のすべてに，共通して必要とされます。

内部統制を支える情報システムの姿

　図は，情報システムが支える内部統制をイメージしたものです。情報システムは，基幹情報システム，支援情報システム，DWH（Data WareHouse）を示しています。

[画像のクリックで拡大表示]

　業務執行部門と自動化した手順により経営活動が実行されると，実行ログが自動的に記録され，経営（内部）統制に必要な各種指標を報告します。この指標報告の代表的なものは，財務情報，リスク管理指標，資産情報，バランススコアカード，環境情報などです。

　業務の実行状況は，内部監査部門によって監査（内部統制監査）され，その結果は，経営者，取締役会，監査役（監査委員会）のインプット資料となり，役員による内部統制の有力な資料となります。経営者は，自らこの内部統制システムの評価を行い，内部統制報告書を作成します。

　その後，経営者は，財務報告とこの内部統制報告書に宣誓署名を行い，この後の監査人による監査を受けることになります。

　CIOが，IT内部統制の構築に主体的な役割を発揮するためには，実際に手を動かした体験が有効です。例えば筆者が講師を務める日経ビジネススクールCIO養成講座では，ITIL，COBIT，ISO27001，PMBOKを取り入れた教材を使用し，CIOとしておさえるべきマネージメントと説明責任などの実学を行っています。