終章・日本版SOX法プロジェクトの進め方教えます：SOX法コンサルタントの憂い（6）（1/3 ページ）

前回、日本版SOX法対応における有効性の評価の方法や文書化の全社展開について紹介した。今回は、日本版SOX法における「IT統制」「内部統制の欠陥の是正」「内部統制報告書」について紹介する。

[鈴木 英夫，＠IT]

　前回は日本版SOX法対応のプロジェクトにおける、「有効性の評価」「全社的内部統制の評価と整備」、そして「文書化の全社展開」について紹介しました。今回は日本版SOX法プロジェクトの進め方に関する話の最終回です。「IT統制」「内部統制の欠陥の是正」と「内部統制報告書」の話をします。

まずはIT統制についての話を

　今日、企業のあらゆる業務にはITが関与しており、“ITなしでは仕事は進まない”といっても過言ではないでしょう。ですから、これまで文書化してきた「業務プロセス」にしても、多かれ少なかれITが関与しています。

　これら個別の業務プロセスにかかわる統制は、「IT業務処理統制」と呼ばれています。ところで、IT統制には図1のとおり、IT全社的統制、IT全般統制とIT業務処理統制があります。

＜図1＞

　IT全社的統制は、前回の「全社的統制の評価と整備を実施する」の欄で言及した42項目に含まれている「ITに関する全社的統制」のことです。当該欄に従って、評価と整備を行います。また、この部分についても、後述する経済産業省の「システム管理基準 追補版（財務報告に係るIT統制ガイダンス）」が参考になります。

　次に、IT全般統制とは「個々のアプリケーションシステムが、継続的かつ安定的に稼働することを保証するためのIT基盤（ハードウェア、ソフトウェア、ネットワークなど）を適切に管理・運営すること、およびその手続き」のことを指します。

　IT全般統制には：

1. システムの開発、変更・保守
2. システムの運用管理
3. システムの安全性の確保
4. システムの外部委託に関する契約の管理

　が含まれます。

　他方、IT業務処理統制とは、「業務を管理する個別のアプリケーションシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために、業務プロセスに組み込まれた統制活動」のことを指します。内部統制の観点から見ると、業務プロセスがITの支援を受けながら機能しているわけですから、IT業務処理統制も、これらの業務部門において業務プロセスの文書化の範疇（はんちゅう）で取り上げることが妥当でしょう。

　IT業務処理統制の具体例としては：

• 入力情報の完全性、正確性、正統性などを確保する統制
• 例外処理（エラー）の修正と再処理
• マスタデータの維持管理
• システムの利用に関する認証、操作範囲の限定などのアクセス管理

　などがあります。

　一方、IT全般統制はIT基盤にかかわる問題ですから、IT部門が責任を持って文書化と有効性の評価を行わなければなりません。その指針は、経済産業省が「システム管理基準 追補版（財務報告に係るIT統制ガイダンス）」の公表についてという形で今年の3月30日に発表されたので参考にしてください。もっとも、経済産業省の公表文書は、やや難解なところがあります。

　米国の情報システムコントロール協会（ISACA）などが提唱するITガバナンスの実践規範であるCOBITをSOX用に編集した「COBIT for SOX 2nd Edition」という文書の和訳の方が分かりやすいので参考にしてください。この文書の「参考資料C」という部分に、IT全般統制について考慮すべき事項の一覧表が掲載されています。特に図表15から27にかけては、とても重要なリスクについて、統制の例とテストの例示がされています。