経営に生かすITガバナンス(2) IT統制における悩み - どのレベルまで整備すればよいのか

IT統制は、企業会計審議会の実施基準でいくつかの項目が例示されているものの、必要な項目の数や実施する上で求められる水準などが必ずしも明確になっていない。その結果、各企業では、試行錯誤をしながらIT統制の整備を進めているのが現状である。前回の「IT統制をどのように間に合わせるか」というテーマに続き、今回は、IT統制整備におけるさまざまな悩みとよく見られる課題について検討したい。

どこまでIT統制項目を整備すればよいのか

IT統制の整備は、やり始めるときりがない。統制項目をどうするか、どのレベルまで統制を実施すれば良いのか悩んでいる企業も多い。IT統制については、企業会計審議会の実施基準でいくつかの項目が例示されていが、これだけでは、実務上必ずしも十分ではない。

IT統制は、実施基準の「財務報告に係る全社的な内部統制に関する評価項目の例」のうちの「ITへの対応」で例示された5項目の「IT全社的統制」、財務報告に関わるデータ処理を担当する販売システムや会計システムなど、基幹系システムに組み込まれている各業務プログラムが、全ての対象トランザクションを正確に処理し記録していることを実際にチェックする「IT業務処理統制」、IT業務処理統制が有効に機能する環境を提供する土台となるための統制である「IT全般統制」の3つに区分される。

IT全社的統制の5項目について整備している企業は多いが、IT全般統制の項目については、数十の統制項目を整備している企業もあれば、100を超える統制項目を整備している企業もあり、各企業によって対応が分かれている。

また、統制項目の整備だけではなく、統制項目を実施する上で、どのレベルまで実施すればよいのかが分からずに苦労している企業も多い。例えば、プログラムやデータの変更管理は、どこまで厳密にやればよいのか、アクセス権の見直しやパスワード変更はどのくらいの頻度で行えばよいのか、などに悩むIT統制の責任者・担当者は少なくない。

「COBIT for SOX」や「システム管理基準追補版」の活用

上記のように、実施基準や日本公認会計士協会の実務指針だけでは、IT統制の項目や統制の水準が分からない。ここで登場するのが、公表されている基準やガイドラインである。具体的には、ITガバナンス協会の「COBIT for SOX」(以下、COBIT)と、経済産業省の「システム管理基準追補版」(以下、追補版)が該当する。

COBITは、IT統制の整備を先行して開始した企業や、米国SOX対応の対象となっている企業で使われることが多い。先行した企業では、実施基準や追補版がまだ公表されていなかったので、米国で広く用いられていたCOBITを参照したケースが多く見られる。

追補版は、2004年に策定された「システム管理基準」をベースにして、企業会計審議会の実施基準が求めているIT統制の内容を詳細に解説したものであり、「システム管理基準 for J-SOX」といった位置づけにあるといえる。追補版以外にIT統制の内容を詳細に説明した基準がないので、追補版を参照してIT統制を整備している企業も少なくない。

COBITと追補版は大いに活用し、役立ててほしい。だが、両者を利用する際に陥りやすい間違いは、これらに示された統制項目を全て実装しようとすることである。もし、このような対応を行おうとしている場合には、直ちに方向転換した方がよい。なぜなら、COBITと追補版は、IT統制の内容を具体的に説明することを目的としたものであり、そこに示されたものをすべて実装することを目的にしているわけではないからである。

IT部門に任せたままでよいのか

ところで、IT統制の整備は、IT部門に任せておけばそれで十分だとお考えではないだろうか? もしそうなら、それは大きな間違いである。内部統制報告・監査制度のためのIT統制は、財務報告の信頼性確保に関わる統制が対象である。そこでは、経理担当者との連携が不可欠になり、対象となるIT基盤が、財務報告の信頼性確保とどのように関係するのかを、経理担当者やアプリケーションシステムのオーナー部門と共同で検討しなければならない。IT部門は、IT基盤を管理する担当部門ではあるが、財務報告に関する専門部署ではないからである。

IT統制の整備をIT部門に任せたままにしてしまうと、文書化作業や整備評価(統制の仕組みの評価)が終わった時に、財務報告の信頼性を確保するという視点から整合がとれないものになってしまう恐れがある。IT統制は、財務報告の信頼性に関わるリスクを適切に評価した上で整備・運用していくことが重要であり、IT統制を適切に実装していくためには、経理部門やアプリケーションのオーナー部門である各部門と連携して、財務報告リスクを検討しておかなければならない。

業務改善を同時に進めたいが…

IT統制を整備する際に、業務改善を同時に進めようとしている企業もある。IT統制を整備するための時間的な余裕がある場合には、それも良い選択肢の1つとなるが、対応が遅れている企業では、業務改善を同時に行おうとすることは避けるべきである。内部統制報告・監査制度に対応するだけでも大変な作業であり、IT統制の整備の過程で発見された不備を是正・改善する作業も残されているからである。

さらに、連結子会社のIT統制の整備にも目を向けなければならない。こうしたことを勘案すると、今の時点では、内部統制報告・監査制度に対応することに注力し、業務改善は次のステップに回すことが得策である。

内部統制報告・監査制度への対応において、業務改善を同時に進めようとして、その作業が多くなり、業務改善の方針や具体的な対応の検討に時間を費やし、結果として業務改善が進まなかったという企業もある。

IT統制の対応が遅れている企業では、業務改善を同時に進めることはお勧めできないというのが、筆者の正直な意見である。

さて、前回、今回と、IT統制整備を間に合わせる上での課題について述べてきたが、次回からはいよいよ、IT統制を経営に生かすための具体的な議論に入っていきたい。