IT全般統制支援ソリューションに求められる機能を探る：「内部統制」に振り回されない賢いログ活用とは（1/2 ページ）

内部統制構築を支援するソリューションの中でも、IT統制を有効化するための基礎となる「IT全般統制」を構築するためにはどういった要素が求められるだろうか。

[増田克善，ITmedia]

本記事の関連コンテンツは、オンライン・ムック「『内部統制』に振り回されない賢いログ活用とは」でご覧になれます。

　これまで2回の記事（第1回、第2回）に分けて、内部統制構築を支援するソリューションについて見てきた。まとめの今回は、IT統制を有効化するための基礎となる「IT全般統制」を構築するためのソリューションに求められる機能について紹介する。

　IT全般統制は、承認された業務がすべて正確に処理、記録されることを確保するために、業務プロセスに組み込まれた統制活動（IT業務処理統制）が有効に機能する環境を保障するもので、IT基盤全体の統制環境を構築しなければならない。したがって、その範囲は広範になる。中でも、IT基盤の開発管理、運用管理、セキュリティ管理、証跡管理が重要な対策ポイントになる。

IT全般統制はIT統制実現の基礎

　IT全般統制は、IT業務処理統制（業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれた統制活動）が有効に機能する環境を保障するための統制活動のことで、通常は複数の業務処理統制に関する方針と手続きを指す。

　2006年11月に発表された基準案（注、その後2007年2月に「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」が正式に策定された）では、具体例として次の4点を挙げている。

• ITの開発、保守に係る管理
• システムの運用・管理
• 内外からのアクセス管理などシステムの安全性の確保
• 外部委託に関する契約の管理

　IT全般統制は、通常は、業務を管理するシステムを支援するIT基盤（ハードウェア、ソフトウェア、ネットワークなど）を1つの単位として構築することになる。

　例えば、「購買」「販売」「流通」という3つの業務システムが1つのIT基盤上で稼働している場合、そのIT基盤に対する有効な全般統制を構築することにより、3つの業務における情報の信頼性を高めることができる。

　一方、それぞれが異なるIT基盤上で稼働している場合には、各IT基盤を管理する部門、運用方法などが異なっていることが考えられる。となると、それぞれのIT基盤ごとに全般統制を構築することが必要になる。

まず初めに着手すべきは「IT資産の把握と管理」

　先に挙げた具体例としての4つのポイントは、内部統制の基本的枠組み、評価および報告、監査に関する基準案のいずれの文書にも例示されているが、IT全般統制を評価するにあたって、評価範囲の決定を行うためにまずIT基盤の把握が必要である。

　IT基盤の把握といっても、ITに関する組織の構成、ITに関する規定や手順書、システムの構成、外部委託の状況など、把握すべき範囲は広い。しかし、IT部門にとっては、まずは「IT資産の管理」をしっかりやることが求められる。

　IT資産管理とは、どこにどのようなリソースが存在し、どのような目的を持ってそれが利用されているかを、サーバやクライアントのレベルで的確に把握することだ。

　ただ、IT資産管理を実施するといっても、Excelなどの表計算ソフトを用いてチェックシートを作成し、それと見比べながらハードウェアの設置状況やソフトウェアのインストール状況を確認することから始めていくやり方は、システム管理部門のリソースを無駄に消費するだけの結果に終わってしまう可能性が高い。また、チェックシート方式は属人性が大きく、上がってくる結果は、従業員のITリテラシーに左右されてしまう。また、リアルタイムに情報収集ができず適正なシステム運用ができない点も問題だ。

　そこで有効となるのが、社内のIT資産情報を自動的に検出・収集できる機能を備えたシステムマネジメントツールの存在だ。システムマネジメントツールによって、構成の変更や新たなソフトウェアのインストールなどで発生するシステム運用管理を、最小限の手間によって実現できるという利点もある。