内部統制というキーワードには、筆者も敏感に反応する。そこで今回は「ME2 内部統制のモニタリングと評価」プロセスを例に挙げて、その中身を説明することにしよう。
「ME2 内部統制のモニタリングと評価」はこれ以降、「ME2」と省略して表記する。
いつもの通り3つの図から(図1)。ビジネス要件は、すべての要素に密接に関係していると考えてもいいだろう。IT資源に関しても同様である。ITガバナンスの要素は、内部統制をきちんと行うことが、結果的にはビジネスに価値を提供し、リスクの管理につながると強調されている。
次に、コントロール目標をウォーターフロー型で示す。
A:内部統制のモニタリングと評価のコントロール目標は、IT目標の達成を保証してIT関連法規制へのコンプライアンスを確保することをビジネス要件とし、
B:重点をおくべきコントロールは、IT関連活動の内部統制プロセスをモニタリングし、是正措置を特定することである。
C:実現するための手段は、次の3項目である。
D:その成果の測定指標は、次の3項目である。
内部統制を具体的にどうするべき、ということには言及していないことに注意してほしい。ここでは、コンプライアンスを確保するために内部統制プロセスを管理する仕組みを作ることが大事だと述べているのである。
Copyright © ITmedia, Inc. All Rights Reserved.