内部統制――もてはやすだけでなく、モニタリングしているか：今日から学ぶCOBIT（3/4 ページ）

[谷誠之，ITmedia]

　コントロール目標の詳細は、次のようになっている。

• ME2.1 内部統制フレームワークのモニタリング

ITコントロール環境とコントロールフレームワークを継続的にモニタリングする。ITコントロール環境とコントロールフレームワークの改善のために、業界のベストプラクティスとベンチマークを用いた評価を実施しなければならない。

• ME2.2 監督レビュー

例えば、ポリシーや標準へのコンプライアンス、情報セキュリティ、変更管理、およびサービス・レベル・アグリーメント(SLA)で定められたコントロールなどの監督レビューにより、ITに関する内部統制の有効性をモニタリングし、報告する。

• ME2.3 コントロールの例外事項

すべてのコントロールの例外事項に関する情報を記録し、根本原因の分析と是正措置に確実につなげる。マネジメント層は、該当部門の責任者に周知すべき不備、およびエスカレーションすべき不備を決定しなければならない。また、マネジメント層は影響を受ける関係者に通知する責任も負う。

• ME2.4 コントロールセルフ評価

継続的なセルフ評価プログラムを導入し、マネジメント層によるITプロセス、ポリシー、および契約に関する内部統制のインテグリティと有効性の評価を実施する。

• ME2.5 内部統制の保証

必要に応じて、サードパーティーのレビューにより内部統制のインテグリティと有効性の保証を強化する。このようなレビューは、企業のコンプライアンスの担当部門のほか、マネジメント層の要請に応じて内部監査部門により実施されることがある。また、外部監査人およびコンサルタント、もしくは外部認証機関に委託されることもある。監査を実行する担当者は、例えば公認情報システム監査人（Certified Information Systems Auditor、CISA)などの資格保有者である必要がある。

• ME2.6 サードパーティーにおける内部統制

各外部サービスプロバイダの内部統制状況を評価する。外部サービスプロバイダが法規制要件および契約上の義務を順守していることを確認する。これは、サードパーティーによる監査、またはマネジメント層の内部監査部門によるレビューと監査結果から判別できる。

• ME2.7 是正措置

コントロールの評価と報告に基づいて、必要な是正措置を特定し、実行する。これには、すべてのモニタリング、報告、および評価について、以下によるフォローアップが含まれる。「マネジメント層の対応に関するレビュー、協議、および確立」「是正措置に関する実行責任の割り当て(場合によりリスク受容も含まれる)」「実行された是正措置の結果の追跡」

---

　ここは少し詳細に落とし込まれている。内部統制のモニタリングをどうするかということだけでなく、是正措置をとる必要がある、ということまでも述べられていることが興味深い。

　「マネジメントガイドライン」は、図2〜図4の通りである。関連するほかのプロセスとの連携は少ないものの、PO4やPO6などへのアウトプットは、まさにPDCAサイクルを回すために必要なものだ、と考えてほしい。また、RACIチャートはその役割がはっきりしている。内部統制に関する説明責任はCIOにあるものの、すべての企業幹部、取締役会、そしてCEOやCFOにとっても、社内の内部統制に関して知っている必要があるため、「報告先（I）」として設定されている。

図2：インプットとアウトプット

図3：RACIチャート

図4：達成目標とその評価指標