IT全般統制におけるアイデンティティ管理：企業ID管理システム確立への道（4/4 ページ）

[北野晴人（日本オラクル），ITmedia]

内部統制におけるITを使った自動化のメリット

　ここまで述べたようにアイデンティティ管理を多くのシステムに共通の基盤として統合・実装することで効率良く内部統制の要求事項に対応することができると同時に、IT統制の構築・運用・監査のコストを大幅に削減できる。ここまで説明してきたアイデンティティ管理のプロセスはすべてマニュアルで統制を行うことも可能だが、そのためにかかる人的コストや人為的ミスが起きる可能性などを考えると現実的ではない。

　米国のSOX法関連統計では、上場企業がSOX法対応に使った費用のうちの60％以上が人件費（内部人件費・外部のコンサルタントなどを含む）であったというデータがあり、圧倒的に人件費が占める割合が大きいと言える。これはアイデンティティ管理についても同様である。事実、2002年にSOX法が施行された米国では翌2003年からITによる自動化のためのシステム投資が始まり、多くの企業でアイデンティティ管理のIT化がスタートした。米国企業もマニュアル統制による多大な人件費を負担し続けるのではなくITによる自動化・省力化によるコスト削減に取り組んだのである。

　また監査についても、アイデンティティ管理を含めた全般統制を各業務システム単位で構築した場合より、一元的な基盤としてシステム化した方が統制を評価する単位を減らすことができる。またITで自動化してあることで監査の際のサンプル数も少なくてすむ。

IT 統制は一貫した処理を反復して継続するので、その整備状況が有効であると判断された場合には、IT 全般統制の有効性を前提に、人手による内部統制よりも、例えばサンプル数を減らし、サンプルの対象期間を短くする等、一般に運用状況の評価作業を減らすことができる⇒（実施基準 �V．４（２）�Aハ）。

「システム管理基準 追補版（財務報告に係るIT 統制ガイダンス）・付録5“サンプリング”」より

　このように内部統制を構築する上でIT全般統制のための基盤は非常に重要で、かつ結果的に内部統制の構築・運用・監査のコスト削減をもたらす。その中でもあらゆるIT業務処理統制、セキュリティ対策などの前提となっているアイデンティティ管理については特に重要であり、そのコストについてはユーザー・プロビジョニングなどのシステムを使って自動化することで大きな削減を期待できる。