内部統制とIT情報システムの関係：丸山満彦の「内部統制」講座（3/4 ページ）

[丸山満彦，N+I NETWORK Guide]

情報システム部門における内部統制

　次に、情報システム部門における内部統制について考えてみたい。情報システム部門における内部統制は、先に説明した全般統制に大いに関係する。ITによる情報処理は、単なる電子計算機としての演算装置ではなく、組織の活動の意思決定を支える情報の処理・伝達に深くかかわっている、いわば神経系となっている。このため、その活動を適切に統制することが非常に重要となる。それを支える情報システム部門は、内部統制の観点から現在、非常に重要な立場にいることになるのである。

ITガバナンスと内部統制

　組織の神経系を支える情報システム部門にとって現在、最も重要となっているのが組織全体の活動と整合性が取れたIT情報システムの構築と維持である。このように組織全体の活動とIT情報システムをつなぐための考え方を「ITガバナンス」といってもよい。

　ではここから、ITガバナンスについて、「情報システムコントロール協会（Information Systems Audit and Control Association：ISACA）」が発表している「COBIT（Control Objectives for Information and related Technology）」の考え方を紹介していこう（表2）。

COBITによるITガバナンスの考え方

　この考え方は、IT情報システムについて経営者が深く関与し、それを統制の取れた形で活用することが企業の目標達成には不可欠であるという認識に立っている。

COBITと全般統制

COBITにおけるドメインとコントロール目標

　ISACAが発表しているCOBITでは、ITコントロール（全般統制）を4つのドメインと34のハイレベルコントロールに分けて考えている（表3）。

ITコントロール（全般統制）のレベル分けと内容

　これらの統制活動は、実務の中から導き出されたものである。並び方は、IT情報システムのライフサイクルに従って整理されている。統制活動の実施が要請される背景をCOBITでは図3のように整理している。

統制活動の実施が要請される背景

　ビジネス要件というのは、COSOの内部統制の目的と関連している。つまり、COSOの内部統制の目的をIT情報システムに対してブレークダウンした際のビジネス上の要件といえる。ビジネス上の要件を、さらにIT情報システムに対する内部統制に落とし込んだものが情報要請規準といえる。したがって、情報システムの内部統制は、情報要請規準が満たされるように考えられることになる。なお、ISACAでは、COBITの各コントロール目標をCOSOの内部統制の構成要素にマッピングしている。詳細は、Webサイトにて確認されたい（http://www.isaca.org/）。

計画と組織

　情報システム全体に対する戦略、戦略に基づく計画、戦略を実現するための組織について扱う。この中では、技術導入の方針や標準、役割や責任、人的資源の管理、品質管理、プロジェクト管理についての内部統制を取り扱う。

調達と導入

　業務処理システムや、情報処理インフラ用の取得時における調達、システム開発時におけるテスト、導入前の検収、本番環境へのシステム移行、ユーザー研修、変更管理などに関する内部統制を取り扱う。

サービス提供とサポート

　IT情報システムのサービスレベル、委託先、ITシステムの容量や能力、データやシステムなどへのアクセス、システム部門の人員の教育、システム構成、システム障害、入力・出力情報、データの保存、バックアップやリストア、物理的アクセス、運用処理（ジョブスケジュールなど）などに関する内部統制を取り扱う。

モニタリング

　モニタリングには、内部統制のモニタリングだけでなく、パフォーマンスの評価や利用者の満足度の評価も含まれている。また、外部の評価者の選定などに関する内部統制と取り扱う。