「紺屋の白袴」状態のIT部門：J-SOX法対策の死角となるか？ IT統制の標的 第6回

内部統制への関心が高まると同時に、企業は自社のITシステムがどの程度成熟しているのかを確認するようになったといわれる。その結果、ITのスペシャリストが集うはずのIT部門が、実は最も未熟だったことが表面化してきたという――。

[アイティセレクト編集部]

ITシステムの成熟度調査への需要増

　J-SOX法にまつわる内部統制の原案ともいえる「財務報告に係る内部統制の評価及び監査」の公開草案は、2005年7月の第11回内部統制部会後に公表された。これにより、各企業における内部統制への関心は高まることになり、専門家には問い合わせが相次ぐようになったといわれる。IT調査会社のアイ・ティ・アール（ITR）にもそのころから、顧客企業からの相談が寄せられるようになった。

　そこでITRは2月、企業のITシステムの成熟度に対する客観的評価サービス「IT＠ガバナンス」を体系化し、提供し始めた。1000問の設問にイエス／ノーで答えてもらった結果を、3つの評価軸――ITRが提唱するITマネジメント・モデル、COBIT（※）、ITR独自の対応領域別の見方――で評価する枠組みで、IT部門において体制、手順、文書化がそれぞれできているかどうかを5点満点で示すものだ。現在、大手企業を中心に20社近くにサービスしているという。

　ITR代表取締役の内山悟志氏によると、「IT＠ガバナンス」の指標において、高い点数をとれるようであれば内部統制上は問題ないといえる目安が示される。ただ、その尺度はITがビジネスにどう貢献するかというものとは異なるため、ただスコアが高ければいいということにはならないようだ。

IT部門は自らを採点できず

　内山氏は、「IT＠ガバナンス」は自社のITのマネジメントがきちんとできているかどうかを見るもので、J-SOX法でいうところのIT全般統制に焦点を当てたものになっていると説明する。IT業務処理統制は、財務や経営企画部門などがイニシアチブをとり、全社的な業務フローを確認した後、最終的にITで処理する部分の対応をIT部門に依頼するといったように、IT部門だけでは進めないところがある。一方、IT全般統制は、IT部門が全面的に責任を負わなければならないものであるため、IT部門が独自に始められるプロジェクトだという。そこで、IT部門に対し、「まずは『己を知る』ということ」（内山氏）の手助けを始めたのである。

　内山氏によると、IT部門はこれまで、ユーザー部門のための業務フロー作成、ERPを導入するための業務分析などを一生懸命やってきたが、自部門を振り返ると、文書化されているどころか標準化など全くされておらず、属人的な慣習が漂っているという、統制上好ましくない状況にある。まさに、「紺屋の白袴」（内山氏）という状況なのだ。それに気付いていながらも、それがどの程度悪いのか、J-SOX法適用後はどのように不適切だといわれるのかが分からないというように、自らに客観的な通信簿をつけられない状態となっているのである

　「国内企業のIT部門には落とし穴がある。その一番の特徴は、当たり前のことができていないというところだ」と、内山氏は指摘する（「月刊アイティセレクト」1月号の特集「J-SOX対策の死角となるか？　IT統制の標的」より）。

＊本稿では、内部統制を日本版SOX（J-SOX）法により課される部分を中心として考える。2006年5月施行の会社法や各金融商品取引所（現行の証券取引所）が定める規則（上場基準など）に従う部分は基本的に考慮に入れていない。ちなみに、J-SOX法とは6月に公布された「金融商品取引法」の一部を指す（12月1日の記事参照）。

＊本稿は、可能な限り最新情報を盛り込んでいるものの、基本的に2006年11月15日時点の情報に基づく。

※　米国のITコントロール協会（ISACA）が提唱する、ITガバナンスの成熟度を測るフレームワーク。