IT統制
1つ前のセクションでは、内部統制全体についてまとめましたが、このセクションではその中でもIT統制に関する部分をピックアップして考えていきましょう。
米国ではIT統制のフレームワークとしてCOBIT(Control Objectives for Information and related Technology)が一般的に使用されています。COSOが内部統制のフレームワーク、COBITがIT統制のフレームワークとするとCOSOの中にCOBITは含まれていると考えられますが、2つのフレームワーク一番の違いはフレームワークの構造的表現になります。
COSOは統制活動を業務単位に適用する事を考えて作成されていますが、COBITでは図2の様にIT活動のサイクルに合わせて統制活動を定義しています。
更にCOBITでは「SOX」におけるIT統制に対応する為に、具体的対応事例を提供するCOBIT for SOX(IT Control Objectives for SOX)が公表されています。
では日本版SOX法に対しては同様のフレームワーク等が無いのでしょうか?
実はCOBIT、COBIT for SOXに相当するものが経済産業省により公表されており、それぞれ「システム管理基準等」「システム管理基準 追補版(以降 追補版)」になります。
追補版に関しては「財務報告に係るIT統制ガイダンス」とも呼ばれおり、資料自体に拘束力はありませんが日本版SOX法に対応する具体的事例が載っている非常に有益な資料と言えるでしょう。
もう少し追補版を見てみましょう。
追補版ではIT統制を「IT全社統制」「IT業務処理統制」「IT全般統制」の3つに分類しています(下記では3つに分けましたが、一般的には「IT業務処理統制」と「IT全般統制」の2つでIT統制と呼ばれる事が多いようです)。
- IT全社統制
- IT業務処理統制
- IT全般統制
ITに関連する方針と手続き等、情報システムを含む内部統制
ITを使用した財務報告に係る処理が正しく行われる為の内部統制
ITを使用した処理(IT業務処理統制を含む)が正しく行われる為の内部統制
図3はIT統制におけるそれぞれの関係を概念的に図示したものです。
この図だけでは何を意味するかが分かり辛いかもしれませんが、「IT全社統制」「IT業務処理統制」「IT全般統制」の関係をそれぞれ「ユーザ」「アプリケーション」「OS(インフラ)」と置き換えてみると分かり易いかもしれません。
直感的には「OSが不正であればアプリケーションが正しくても結果は不正」ですし、「アプリケーションが不正であればOSが正しくても結果は不正」と分かると思います。また、「OS・アプリケーションが正しくてもユーザが誤った使用方法をしていればやはり結果は不正」という事もご理解いただける部分だと思います。
即ち、どれか1つでも不正(=統制が行えていない)とすると、IT統制全体に影響を及ぼすという事です。
このようにIT統制は3つ全て行えてこそ本来の内部統制の意味を持つのですが、全てを同時に行う事はやはり非常に難しくコストもかかります。このため、どこから手を付けるかが問題となります。
通常であれば業務毎に担当者がいることから、業務毎に統制を行っていく「IT業務処理統制」をメインに行っていくと思いますし、実際にその様なお客様の方が多いと感じます。逆に言うと、「IT全般統制」を後回しにしている企業が多く存在するという事が考えられるのではないでしょうか。
この仮定を裏付けるかのように、いくつかの監査法人から出されている指摘事項の統計ではアクセス管理や特権ユーザの管理といったインフラで行うべき統制における指摘が多くを占めています。即ち、現在は「IT全般統制」が盲点となっている事が多いのです。
今回のまとめ
日本版SOX法では「財務報告の信頼性」を確保するための「内部統制」を必要としています。また、その中のIT統制においてはCOBIT for SOXの日本版と言える「システム管理基準 追補版」が存在し非常に有効な資料となっています。
しかしながら、現時点ではIT統制の「IT業務処理統制」を行っている企業が多く「IT全般統制」まで手が回っていない事があります。このため、今後はいかにITインフラと言われる部分に対して「IT全般統制」を行っていくかがキーポイントとなるでしょう。
