特集

J-SOX法対策の死角となるか？ IT統制の標的　第6回：

「紺屋の白袴」状態のIT部門

内部統制への関心が高まると同時に、企業は自社のITシステムがどの程度成熟しているのかを確認するようになったといわれる。その結果、ITのスペシャリストが集うはずのIT部門が、実は最も未熟だったことが表面化してきたという――。

ITシステムの成熟度調査への需要増

　J-SOX法にまつわる内部統制の原案ともいえる「財務報告に係る内部統制の評価及び監査」の公開草案は、2005年7月の第11回内部統制部会後に公表された。これにより、各企業における内部統制への関心は高まることになり、専門家には問い合わせが相次ぐようになったといわれる。IT調査会社のアイ・ティ・アール（ITR）にもそのころから、顧客企業からの相談が寄せられるようになった。

　そこでITRは2月、企業のITシステムの成熟度に対する客観的評価サービス「IT＠ガバナンス」を体系化し、提供し始めた。1000問の設問にイエス／ノーで答えてもらった結果を、3つの評価軸――ITRが提唱するITマネジメント・モデル、COBIT（※）、ITR独自の対応領域別の見方――で評価する枠組みで、IT部門において体制、手順、文書化がそれぞれできているかどうかを5点満点で示すものだ。現在、大手企業を中心に20社近くにサービスしているという。

　ITR代表取締役の内山悟志氏によると、「IT＠ガバナンス」の指標において、高い点数をとれるようであれば内部統制上は問題ないといえる目安が示される。ただ、その尺度はITがビジネスにどう貢献するかというものとは異なるため、ただスコアが高ければいいということにはならないようだ。

IT部門は自らを採点できず

　内山氏は、「IT＠ガバナンス」は自社のITのマネジメントがきちんとできているかどうかを見るもので、J-SOX法でいうところのIT全般統制に焦点を当てたものになっていると説明する。IT業務処理統制は、財務や経営企画部門などがイニシアチブをとり、全社的な業務フローを確認した後、最終的にITで処理する部分の対応をIT部門に依頼するといったように、IT部門だけでは進めないところがある。一方、IT全般統制は、IT部門が全面的に責任を負わなければならないものであるため、IT部門が独自に始められるプロジェクトだという。そこで、IT部門に対し、「まずは『己を知る』ということ」（内山氏）の手助けを始めたのである。

　内山氏によると、IT部門はこれまで、ユーザー部門のための業務フロー作成、ERPを導入するための業務分析などを一生懸命やってきたが、自部門を振り返ると、文書化されているどころか標準化など全くされておらず、属人的な慣習が漂っているという、統制上好ましくない状況にある。まさに、「紺屋の白袴」（内山氏）という状況なのだ。それに気付いていながらも、それがどの程度悪いのか、J-SOX法適用後はどのように不適切だといわれるのかが分からないというように、自らに客観的な通信簿をつけられない状態となっているのである

　「国内企業のIT部門には落とし穴がある。その一番の特徴は、当たり前のことができていないというところだ」と、内山氏は指摘する（「月刊アイティセレクト」1月号の特集「J-SOX対策の死角となるか？　IT統制の標的」より）。

※　米国のITコントロール協会（ISACA）が提唱する、ITガバナンスの成熟度を測るフレームワーク。

[アイティセレクト編集部]

Copyright© 2010 ITmedia, Inc. All Rights Reserved.