経営に生かすITガバナンス(3) IT統制を経営に生かすために - J-SOXに偏らないIT統制とは?

J-SOXに対応するためのIT統制を整備しただけでは、必ずしも経営に役立つ付加価値の高いIT統制を構築することはできない。J-SOXのIT統制は、財務報告の信頼性確保に重点をおいたものであり、経営目標の達成のためのIT統制とはいえないからである。今回は、経営に生かすためのIT統制について考える。

2つのIT統制

IT統制を正しく理解するためには、2つのIT統制を理解する必要がある。1つは、「ITの統制」であり、もう1つは「ITによる統制」である。ITの統制とは、ITを対象にした内部統制のことであり、IT戦略やIT計画の策定、ITに関する組織体制、IT化に関する規程や手続きなどがこれに該当する。ITによる統制とは、ITを利用した内部統制のことであり、ITを内部統制のツールとして利用するものである。例えば、システムによるデータチェックを行って財務データの正確性を確保したり、電子メールや掲示板などを利用して会計処理に関する取り扱いなどを周知徹底したりするものである。

付加価値の高いIT統制は、企業の目標達成(価値向上)につながるIT統制である。財務報告統制以外の内部統制を対象としたIT統制の重要性を忘れてはならない。

IT全社的統制といわれるものは、ITの統制に該当すると考えてよい。また、IT全般統制とIT業務処理統制は、主としてITによる統制に該当するものだと言える。IT全般統制は、IT業務処理統制、つまりITを利用した業務処理統制の有効性を確保するための統制と考えることができるからである。IT統制を検討するときには、ITの統制とITによる統制の2つのそれぞれの意味を理解する必要がある。

J-SOX対応で付加価値は生まれるか

J-SOX対応では、どのような価値が生まれるのだろうか。まず、内部統制報告や監査制度に対応するというコンプライアンス上の付加価値がある。また、業務プロセスなどが文書化されて明確になり、業務プロセスに関わるリスクやコントロールが明確になるというメリットがある。いわゆる業務の"見える化"が実現し、業務管理や業務処理の向上につながるという付加価値がある。

ただし、J-SOXのIT統制は、財務報告の信頼性に関わる内部統制を対象にしているという点に注意しなければならない。つまり、J-SOX対応による付加価値の向上は、財務報告の信頼性の向上が中心だということである。J-SOXのためのIT統制だけでは、必ずしも経営目標の達成への寄与という付加価値を生むとは限らないのである。

企業にとっての付加価値は、利益や売上の増大、顧客満足度の向上、市場におけるシェアの拡大といった経営目標の達成に寄与するかどうかということである。J-SOX対応による付加価値は、これらの経営目標達成のための基礎となるものだと考え、それを発展させて経営目標の達成に寄与するためのIT統制を構築しなければならない。

会計監査人の適正意見は、経営目標成は直接考慮せず

そうした意味では、J-SOXに対応したIT統制を整備・運用し、会計監査人の内部統制監査で適正意見をもらえれば、企業の価値向上につながるIT統制を整備できたと安易に考えるべきではない。会計監査人は、企業の経営目標達成のためのIT統制が整備・運用されていることについて適正意見を表明している訳ではないからである。

これは、品質管理システムに対するとらえ方と似ていると考えることができる。ISO 9001の認証取得は、品質管理が経営目標の達成に寄与していることまでを保証しているわけではない。ISOでは、品質管理の仕組みが構築され維持されていることを保証しているのであり、経営目標の達成との関係は直接には考慮されないからである。

付加価値の高いIT統制を整備・運用するためには、財務報告の信頼性と関連付けたIT統制ではなく、経営目標の達成と関連付けたIT統制を考えていく必要がある。

これまでの「ITの統制」の良さを失わないことが肝心

もちろん、経営目標達成のためのIT統制は、J-SOXのためのIT統制と全く異なるものではない。IT統制を経営に生かすためには、さきほど述べたITの統制とITによる統制のうち、ITの統制のほうが重要となる。ITの統制とは、ITを内部統制の対象とし、ITに特有のリスクを評価し、リスクを低減するためのコントロールを整備することである。

ITに特有なリスクの特徴としては、ITに関するリスクが見えにくく、影響範囲が分かりにくいことが挙げられるだろう。システム開発に失敗したり、システム障害が顧客や取引先に大きな影響を及ぼしたりしてダメージを受けた企業も少なくない。その一方で、ネット通販、ネット銀行、ネット証券、ネット広告など、ITを活用してビジネスを拡大している企業も多い。

こうした社内外の成功や失敗を通じて、各企業では、ITを統制する何らかの仕組みを構築してきている。また、システムの有効性(システム化効果の達成状況)や、システム開発・運用の効率性を評価する仕組みを導入している企業も多い。システム監査によって、システムの有効性や効率性を監査している企業もあるかもしれない。

経営に生かすためのIT統制を整備・運用するためには、今まで培ってきた価値向上のための「ITの統制」を活用していくことが大切となる。

すなわち、IT統制とは、J-SOXに対応するためだけのものではなく、ITを経営目標の達成に活用するための仕組みだといえる。J-SOXのIT統制は、本来のIT統制の一部分なのである。J-SOX対応では、まず、経営目標の達成に寄与するIT統制全体のあるべき姿を検討し、それを実現していくことが重要となるのである。