前回は企業の財務諸表を対象とする「財務諸表監査」と内部統制監査との関係や違いについて考えてみました。今回は、内部統制およびIT統制は企業活動とどのような関係にあるのか、それぞれの統制の対象や内容はどのように規定されているのか、について解説する。

 読者のなかには、アルビン・トフラーによって提唱された「第三の波」が、1970年代頃から「高度情報化社会」と呼ばれていたことを覚えている方も多いと思います。当時からISDN回線網の敷設など、いくつかの準備は始まっていましたが、一般庶民の感覚としては、トフラーの言う“次の波”の気配など微塵もなかったというのが実態だと思います。

 しかし、1990年代後半において、ADSLや光回線といったブロードバンド通信網の普及を境に、「第三の波」はITを基盤とする経済社会として、突如、日本のみならず世界中を覆い尽くしてしまいました。「情報コミュニケーションにおいては物理的な距離が存在しない」という社会が始まったわけです。

 全くの常識ですが、経済活動の根幹は、人、モノ、金と情報です。このIT経済社会の到来によって、企業活動が完全にITに依存して行われる新しい時代を迎えたわけです。

企業活動における「内部統制」とは?

 企業活動は、各企業が掲げた経営目標の達成を目指して行われるものです。(経営目標に関する検討は経営学のさまざまな著作にお任せするとして)企業活動が経営目標の達成に向けて行われるということは、企業活動は常に一定の方向に向けて遂行されるように“制御”されなければなりません。しかも、経済活動ですから、合理的、効率的かつ安定して実行されることが求められます。


図1 経営と内部統制/IT統制との関係
[画像のクリックで拡大表示]

 このように、経済活動には、経営目標達成のための軌道から逸脱しないように制御する、そのための仕組みが常に必要とされます。この仕組みは、飛行機の自動安定化装置(ビルトイン・スタビライザー)のように、あらかじめ経済活動自体に組み込まれることになります。この仕組みを「内部統制」と総称します(図1)。

 このように内部統制は、極めて概念的なものです。したがって、「これは内部統制ですか?」というような問いかけは意味を成さない、ということがご理解いただけるでしょう。内部統制とは、意図した目的に向かって有効に機能しているかという判断でしか価値が見出せない抽象的存在なのです。

内部統制とIT

 先にお話したように、今日、企業活動の基盤はITで構成され、ITによって運営されています。また同時に、企業活動は、事前に設置された内部統制によって常に制御されています。

 このことは、IT経済社会である現代においては、企業活動に不可欠な内部統制の多くは、ITに依存して実行されているということです。このような内部統制を、特にIT統制といいます(前出の図1)。IT統制には、IT自体に対する統制のほか、ITが業務に対して行う統制も含まれます。

 内部統制に関しては、過去から監査実務において、いくつかの解釈ないし定義が行われてきました。先に国会で成立した金融商品取引法において、内部統制監査を検討するのに当たって標準とした内部統制の考え方は、すでに皆さんよくご存知の「COSOフレームワーク」と呼ばれるものです。これは、COSO(The Committee of Sponsoring Organizations of the Treadway Commission)が1992年に発表した「内部統制の統括的なフレームワーク」の通称です。

 だたし、米国SOX法では、特にどのフレームワークを使わなければならない、というようなことは明記されていません。公式な手順(草案を公開し、意見を収集する、といった手順)を踏んで確立された公開のフレームワークであれば、各企業が自社に最もふさわしいと考えられるフレームワークを採用すればよい、ということになっています。

 COSOフレームワークでは、IT統制を次にように定義しています。すなわち、情報システムに対する統制活動として、「アプリケーション・コントロール」、「全般的統制」の区分を行い、対象範囲として「情報処理センター業務に対する統制」、「システム・ソフトウェアに対する統制」、「アクセス・セキュリティに対する統制」、「アプリケーション・システムの開発と保守に対する統制」を挙げて、簡単な説明を行っています。


図2 PCAOB(公開会社会計監視委員会)におけるIT統制の対象領域
[画像のクリックで拡大表示]

 これらの内容は、公表されて14年後の現在、我々が取り扱おうとするIT統制の内容と同様で、全く違和感はありません。実際、COSOフレームワークと対比してPCAOB(公開会社会計監視委員会)が規定したIT統制の対象領域を見ていただければ、それがご理解いただけると思います(図2)。

IT統制とIT統制目標

 内部統制監査では、経営者は内部統制の有効性を評価することになっています。また、内部統制を構築・維持する第一義的責任は、経営者にあります。この点は、確実に押さえてください。監査人は、経営者の構築した内部統制を、後から点検するに過ぎません。

 ITに依存する内部統制の有効性を評価するためには、当然、内部統制が依存するITそのものを評価することが必要となります。ITが内部統制の観点から有効かどうかは、ITが実施すべき内部統制上の目標を設定し、その目標の達成度によって評価する、という手順を取ります。この内部統制上の目標は「IT統制目標」と呼ばれます。IT統制目標が達成されていることが、IT統制が内部統制として有効に機能していることを示します。

COBIT(Control Objectives for Information and related Technology)


図3 代表的な国際標準ITフレームワーク
[画像のクリックで拡大表示]

 IT統制目標は、英語の「IT Control Objectives」の直訳です。このIT統制目標に関するフレームワークには、さまざまなものがあります(図3)。このうち、欧米で最も普及しているフレームワークの1つが、“COBIT”です。COBITは、1996年に第1版が公表されてから版を重ね、2005年に公表された第4版をもって現在に至っています。

 「IT統制目標」そのものを意味する「COBIT(Control Objectives for Information and related Technology)」は、ITをビジネスで利用する際に、ITが達成すべきビジネス上の要件の全体像を、統制目標という形式で定義したものがCOBITです。このビジネス上の要件には、内部統制監査制度が要求する財務報告に関する統制目標も、当然含まれます。


図4 COBITとCOSO
[画像のクリックで拡大表示]

 COBITの対象範囲と、先ほどのCOSOフレームワークが想定するITの対象範囲は概ね重なります。ただし、両者はそもそも、策定された趣旨が同一ではありません。そのため、COBITに全面的に依拠していたとしても、IT統制目標をCOSOフレームワークの観点から再整理しないと、対象とするIT統制目標がCOSOの対象範囲をカバーしているかどうか明確ではありませんでした(図4)。

IT Control Objectives for Sarbanes-Oxley

 米国SOX法による内部統制構築では、内部統制の基盤であるITを、COSOフレームワークをベースとしてどう評価すべきかについて、明らかに資料が不足していました。このため、COSOフレームワークにおけるIT統制に関する記述量の不足を補う目的から、COSOとCOBIT を合体させたIT統制に関する補足的な資料が、大手監査法人、コンサルティング会社などの共同作業によって作成されました。COBITで示されたIT統制目標を、COSOフレームワークの観点から再整理したわけです。

 その成果物は、IT Governance Instituteと呼ぶ組織によって、「IT Control Objectives for Sarbanes-Oxley」という書籍にまとめられました。そして2006年3月に、待望の日本語版が「サーベインズ・オクスリー法(企業改革法)遵守のためのIT統制目標」(ISACA東京支部訳)というタイトルで、ようやく公表されました。


図5 米国SOX法におけるIT統制目標の対象領域とCOBIT4.0との関係
[画像のクリックで拡大表示]

 同書には、米国SOX法の概説、COSOにおけるIT統制の解説、IT統制構築プロジェクトの解説が掲載されているほか、35ページにわたる参考資料が添付されています。特に参考資料は、具体的な質問表や、IT全般統制におけるドメインごとの統制目標の例示、業務処理統制の代表的な取引サイクルにおけるアサーション(日本公認会計士協会の正式な訳は“経営者の主張”)の例示など、米国SOX法におけるIT統制の取り扱いを理解するうえでも非常に参考になります。ただし、この版では、トップダウン・リスクアプローチをあまり意識している内容とはなっておらず、パラパラと読み返してみると網羅的な概説書といった印象が強い資料となっています(図5)。

 この連載の第2回でお話したように、今年5月に米国SEC(証券取引委員会)は、トップダウン・リスクアプローチへの回帰を目指して大きな方向転換を打ち出しました。この方向性に沿う改訂がIT Control Objectives for Sarbanes-Oxleyにも施され、今年5月1日に「IT Control Objectives for Sarbanes-Oxley(第2版)」が公開草案として公表されました。次回は、この公開草案から話を起こします。

次回へ

深見 浩一郎(ふかみ こういちろう)
深見公認会計士事務所/コンサルティング・ネットワークITAS代表。大手都市銀行を経て,国内大手監査法人マネジメントコンサルティング室長,外資系コンサルティング会社ERP担当マネージング・ダイレクター等を経て,現職。一昨年から公認会計士,システム監査技術者,システム・コンサルタントによるネットワークITASを創設。内部統制構築,IT統制整備に関するコンサルティング・サービス,メソドロジーの教育研修を展開。