IT全般統制におけるアイデンティティ管理：企業ID管理システム確立への道（1/4 ページ）

わが国でも、米国におけるSOX法（サーベンス・オクスリー法）に端を発した金融商品取引法（通称J-SOX）が成立し、対象となる上場企業では各種の準備が行われている。文書化やリスクコントロールマトリクスの作成、またすでに監査法人と相談しながら「ドライラン」（監査の予行練習）を行っているところもあるが、全体的にはまだ模索段階の企業も多い。

[北野晴人（日本オラクル），ITmedia]

内部統制におけるIT全般統制の重要性

　現在の企業活動がコンピュータやネットワークを利用したITシステムに大きく依存していることから、ITシステムを利用した統制（IT業務処理統制）やITシステムに対する統制（IT全般統制）が重要なポイントとなり、これらを合わせて「IT統制」と呼んでいる。2006年以降本格化した内部統制構築の初期段階では、文書化支援ツールの利用や会計パッケージ、ERPにおける統制といった、どちらかというとIT業務処理統制の部分に多くの企業の関心が集まっていた。

　しかし最近では、IT全般統制の整備も注目されている。これは業務処理統制の整備が進み「ドライラン」を実施した結果、IT全般統制部分に課題が見つかり、改善する必要に迫られて動き出した企業が多いということを示している。

　これについては、IT業務処理統制が有効に機能するためには、IT全般統制が有効に機能していることが重要ということが理由である。例えば金融庁企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」では、以下のように示されている。

ＩＴに係る全般統制に不備があった場合には、たとえＩＴに係る業務処理統制が有効に機能するように整備されていたとしても、その有効な運用を継続的に維持することができない可能性があり、虚偽記載が発生するリスクが高まることとなる。

　つまり、IT業務処理統制に力を入れても、IT全般統制に不備があるとその有効性が失われる可能性がある、ということになる。本稿ではその中でも整備の必要性が高いと言われるアイデンティティ管理について取り上げる。