多くの企業において，内部統制プロジェクトが山場に差し掛かろうとしている。このプロジェクトに対して，IT部門はどのように関与すべきだろうか。

「もともとIT部門に期待されている機能として，コンプライアンスを実現するために自己証明の視点に加え，IT運営業務改善やIT利用高度化，IT開発プロジェクト改善という視点が必要。以上の4つの視点に関して，IT部門の責務，期待される役割があります」と語るのは，KPMGビジネスアシュアランスの橋本 勝氏である。それを縦軸と横軸に展開したのが図である。

特に，責務はIT部門の関与なしには前に進まない事項である。この図を参照しながら，IT部門は内部統制プロジェクトを点検することが望ましい。

今回，橋本氏が強調したのは，図の中にもある評価体制整備と人材育成への寄与。これはIT部門の責務とまではいえないが，将来を考えると極めて重要なポイントである。しかし，そのことに気づいている企業は少ない。橋本氏は「本来，評価ができなければ是正もできないはずです。しかし，文書化や是正などの業務に気を取られるあまり，内部統制の整備状況を評価する体制作りはあまり進んでいません」と心配している。

とりわけ，「ITに関する評価を誰が行うのか」は大きな懸案事項だと橋本氏は強調する。

「IT部門の要員を使うのか，それとも外部の専門企業に任せるのかといった点も含めて，IT部門は早めに問題提起をすべきです。後になって『やっぱりIT部門から何人か出してくれ』となれば，要員計画は崩れ，本来業務にも支障をきたすでしょう」

社内外を通じて，現状ではITを評価できる人材は多くはない。となると，IT部門が通常業務の傍らITの評価を担うことにもなりかねない。しかし，その場合には「評価担当者の独立性と能力は確保できるのかという懸念が生じます。少なくとも，開発担当者と評価者は別人でなければなりません」と橋本氏。一定の能力を持つ要員が少ない中で，独立性確保にも配慮した要員計画を策定するのはそう簡単ではない。

「しかも，ITの能力と内部監査人としての能力は別。IT部門から評価担当者を出す場合，内部監査人としてのスキルを高めるための教育機会などを与える必要があります」と橋本氏は指摘する。

また，IT部門による自己点検は，それだけでは有効と見なされないことにも注意が必要だ。その自己点検の有効性が，「経営者による評価」を行う要員の確認を経てはじめて，内部統制の評価として利用可能である。そこで，橋本氏は「自己点検を利用する場合であっても，自己点検手法などについてほかの部門との調整・確認が必要。また，隣の部門とお互いにチェックするなど，自己点検の手法もできるだけ客観性を確保することが重要です」とアドバイスする。

以上のような懸念事項への対処法は，それぞれの企業で異なるだろう。重要なことは早めに問題提起を行い，計画的な評価体制作りに取り組むこと。IT部門がまず声を上げる必要がありそうだ。

[ 画像クリックで拡大 ]

内部統制プロジェクトにおけるIT部門の役割

青色は多くの企業がクリアしている分野，黄色は注意が必要，赤色は不合格企業が多いと考えられる分野である。