経営に生かすITガバナンス(1) 間近に迫ったIT統制 - 今からどのように間に合わせるか

内部統制の基本的要素としての"ITへの対応"(IT統制) は、いわゆるJ-SOX法によって一躍注目を浴びることになった。しかし、J-SOX対応のIT統制では、財務報告に偏った内部統制になりがちで、企業の付加価値向上には直接つながりにくいのが実情だ。この連載では、中央大学大学院理工学研究科客員教授である筆者が、IT統制を企業価値の向上、つまり"攻めのIT統制"にするための、さまざまな方法を検討していく。

IT統制整備の実態とは?

内部統制報告・監査制度のスタート(2008年4月1日以降に開始する事業年度が対象)が、間近に迫っている。各企業では、内部統制の整備について追い込みの段階に入っているようだ。来年4月のスタートから逆算すると、内部統制の文書化や整備状況(コントロールデザイン)の仮評価が完了し、運用状況の仮評価や整備の仮評価で不備となった統制項目の是正に取り組んでいるところではないだろうか。

内部統制報告・監査制度の中で、特に難しいのがIT統制である。なぜなら、IT環境は企業によって多種多様であり、IT統制に関する概念が必ずしも明確ではないからだ。加えて、IT統制に関する専門家が、企業、監査法人、コンサルタント会社で不足していることも理由の1つだろう。

前述のように、IT統制の整備は内部統制構築の中で進められている。例えば、内部統制プロジェクトチーム内にIT統制の担当チームを設置するなどして対応しているケースがある。この場合は、IT部門のメンバーが参加し、経理担当者や内部監査担当者などのメンバーと協力してIT統制の整備を進めることになる。

IT統制の専門家とは、ITストラテジストやアーキテクトなどのIT専門家とは異なり、「システムの構築や運用においてどのようなリスクがあり、そのリスクに対応するためにどのようなコントロール(対応策)が必要になのか」について専門知識をもつ人達のことである。例えば、システム監査技術者やCISA(公認情報システム監査人)などの有資格者がIT統制の専門家だといえる。しかし、こうした専門家が社内にいる企業は多くないので、外部コンサルタントの力を借りてIT統制の整備に取り組んでいるのが実態だろう。

必要不可欠な項目への重点投入が効果的

IT統制の整備・運用は、今から整備して間に合うのか、間に合わなかったらどうすればよいのかという声を聞くことがある。このような疑問については、間に合うのかどうかではなく、間に合わせなければならないと考えるべきである。

そのためには、まず残された期間がどれくらいあるのかを把握する必要がある。金融庁企業会計審議会の実施基準では、内部統制の評価は、期末時点で行うことになっている。例えば、最も数が多いと思われる、事業年度が4月～翌年3月の企業は、2009年3月末時点で内部統制を評価し、その結果を内部統制報告書にまとめることになる。一方、事業年度が1月～12月の企業の場合には、再来年の2009年12月末時点で評価する。こちらについては、まだ約2年を残しており、比較的余裕があると言える。

次に重要なのは、限られた時間内でどのように対応すればよいのかという点である。必要不可欠なIT統制項目にポイントを絞って、そこに経営資源を重点投入するというのが最も効率的な対応である。しかし、IT統制の整備を始めたばかりの企業では、必要不可欠な項目が何かが分からないかもしれない。

IT統制は、期末時点で評価すると説明したが、実施基準で「全社的な内部統制の評価項目」として挙げられた42項目のうち、「ITへの対応」に関する5項目を指す「IT全社的統制」に関する評価項目については、早い時点で評価しなければならない。

また、財務報告に関わるデータ処理を担当する販売システムや会計システムなど、基幹系システムに組み込まれている各業務プログラムが、全ての対象トランザクションを正確に処理し記憶していることを実際にチェックする統制である「IT業務処理統制(アプリケーション・コントロール)」の評価に先立って、IT業務処理統制が有効に機能する環境を提供する土台となるための統制である「IT全般統制」を評価しておく必要があるので、年度末を目標にIT全般統制を評価したのでは、間に合わないことになるので注意しなければならない。

アクセス管理と変更管理に重点をおく

限られた時間内でIT統制を整備するためには、前述のように、必要不可欠な項目に絞って対応を進めると良い。必要不可欠な項目のうち、最初に取り組むべきなのは、財務報告の信頼性に係るリスク(財務統制リスク)である。財務統制リスクは、アクセス管理と変更管理が適切に行われない場合にリスクが大きくなる。

最初に取り組むべきなのは、財務報告の信頼性に係るリスクであり、財務統制リスクはアクセス管理と変更管理が適切に行われない場合にリスクが大きくなる。

例えば、アクセス管理が不十分な場合には、財務データが改ざんされるリスクがある。また、プログラムやデータの変更において、変更対象プログラムやデータの誤り、変更タイミングの誤りなどの変更ミスに対する防止策が適切に講じられ運用されていなければ、財務諸表の数値が適正に記載されないおそれがある。

この他に、システムの運用管理も大切なポイントである。もっとも、システム運用が自動化されている場合には、リスクが限定される。この場合には、日程登録や例外処理などの管理に注意すればよい。

今ある仕組みを活用する

ITの利用は、いまや企業活動においての前提となっており、何らかの管理の仕組みを持っている企業がほとんどだろう。分厚いマニュアルが作成されていなくても、プログラムやデータ変更を行うための依頼書などの書類・伝票があるのではないだろうか。このような、書式が定まっており、書類や伝票の回付ルール(承認フロー)が記載されている文書があれば、手続きが文書化されているとみなせる。こうした文書を活用することで、IT統制向けの文書化が不足している部分を補うこともできるのである。