まず挨拶に登壇した住商情報システムの和久田 浩二氏は，日本版SOX法に関連するERPおよびプラットフォームの各ソリューションについて紹介した。内部統制のためのコンサルティングから支援サービス，北米・欧州・中国などワールドワイドな拠点でのサービス提供が可能な点を強調した。

続いて，株式会社ジュピターテレコム インターナルコントロール推進部長の稲木 幹雄氏と同部マネージャーの平山 準氏は，米国SOX法対応を短期で実現した同社の取り組みを事例として紹介した。ケーブルテレビ局統括運営などを行うジュピターテレコムは，親会社である米国LGI社の連結対応として2005年7月よりプロジェクトを始動。SOX法対応の経緯とトップダウン・アプローチの重要性といったポイントが説明された。

後半は，IT全般統制の実践的アプローチの解説が行われた。住商情報システムの田中 秀幸氏は，初めにIT全般統制の定義とその具体例について解説。IT全般統制とは，業務処理統制の有効性を保証する統制活動であり，具体的にはシステムの開発・保守にかかわる管理，内外からのアクセス管理などシステムの安全性の確保が挙げられる。

また，その整備の必要性を会計システムの支払承認処理の例で紹介した。承認処理の実行権限を制御する機能はアプリケーション統制であり，業務処理統制に含まれる。しかし，ここでIT全般統制が非有効であると，アプリケーション統制の有効性も保証されなくなってしまう。

「IT全般統制の整備は，会計期間を通して“ITにかかわる業務処理統制”の有効性を保証し，財務データの完全で正確な処理を保証するために必要になります」（田中氏）。

これに続き，IT全般統制の対象については，財務データが依存しているシステム基盤であること。また，対象となる業務プロセスは，財務データにかかわる業務処理統制に影響を与え得るプロセスを中心に選定を行うことを指摘した。

特に，アクセス管理については「一般ユーザーの場合はアプリケーションへのアクセス管理を中心に，IT部門のユーザーはそれにDBやOSのアクセス管理などを加える可能性があります」と，田中氏は説明した。

文書化と評価については，システムの運用・管理上のリスクをどのように統制しているかを文書化し，運用状況を評価すべきとした。その際，評価単位については管理手続きの評価単位を決定し，文書化・評価を実施する。「評価単位は文書化単位のこと，それにより文書化の数が決まります。決定に際しては，外部監査人との調整が必要でしょう」（田中氏）。

最後に，田中氏は「重要なことは，ITIL（ITインフラストラクチャ・ライブラリ）やCOBITをベースに進める前に，実施基準に書かれたIT全般統制で求められる内容を理解することです」と述べ講演を終えた。

[ 画像クリックで拡大 ]

「IT全般統制における業務プロセス選定の一例」

IT全般統制では，財務データの完全で正確な処理を確保することが要求される。そのため業務プロセスの選定は，財務データにかかわるものを中心に行う。