IT統制（IT Control）

2006.11.30

企業のIT（情報技術）に関する内部統制。「業務処理統制」と「全般統制」に大別できる。日本版SOX（企業改革）法の登場で注目される概念。

　日本版SOX（企業改革）法の適用は、2008年4月以降に始まる会計年度からスタートします。この新しい法律の登場気運の高まりとともに、注目度が高まっている概念が「IT統制」です。これは「企業のIT面での内部統制」を意味します。内部統制は「財務報告書の内容の適正性を確保するための組織体制」のことです。

　さらにIT統制の中身を具体的に見ていくと、「業務処理統制」と「全般統制」に大別できます。業務処理統制は「ITで行う各種の業務処理に関わる内部統制」を、全般統制は「ITそのものの管理全般に関わる組織体制」を指しています。日本版SOX法の詳細は確定していませんが、ITの業務処理統制と全般統制に関する項目が含まれるのは間違いありません。

業務を見直すきっかけになる

　ITの業務処理統制として、TDKに昨年買収された東証1部上場企業のデンセイ・ラムダは、ワークフロー管理システムを採用しました。グループウエア「ロータスノーツ」をベースにして必要な機能を自社開発したものです。そして、個別業務ごとに同システムの利用ルールをきちんと定めました。

　例えば、営業担当者が作成した見積書を承認する用途に同システムを使います。そして、いったん承認された見積書の一部を訂正したくなったとします。デンセイ・ラムダではこの場合、見積書データの書き替え処理を許すのではなく、一から承認をやり直すルールにしています。会社側が「営業担当者には最初から自己責任で正しい見積書を作る意識を持ってほしい」と考えたからです。

　これに対してITの全般統制には、ITの開発や運用の体制、操作履歴やユーザーID（識別符号）の管理などがあります。つまり、全般統制はIT部門が必ず主体となって実施するものなのです。ITの全般統制をきちんと実現するためには、CIO（最高情報責任者）がITマネジメントの目的や指針を明確にし、それをIT部門のスタッフに周知徹底させるべきでしょう。

ID管理を強化

　グローバル本社を米国に置く、世界最大の製薬会社ファイザーでは日本法人においても、米国企業改革法に沿った内部統制の整備を済ませています。例えば、IT全般統制の1つとして、ID管理を徹底的に強化。人事異動などのときにまず人事情報システムの内容が変更されると、24時間以内に各種業務システムのID設定にそれが自動的に反映される仕組みを作りました。また、自動反映が難しい業務システムのID設定については、不適切なIDが残っていないかどうかを四半期ごとにチェックしています。