内部統制――もてはやすだけでなく、モニタリングしているか：今日から学ぶCOBIT（2/4 ページ）

[谷誠之，ITmedia]

「ME2 内部統制のモニタリングと評価」を例に解説

　内部統制というキーワードには、筆者も敏感に反応する。そこで今回は「ME2 内部統制のモニタリングと評価」プロセスを例に挙げて、その中身を説明することにしよう。

　「ME2 内部統制のモニタリングと評価」はこれ以降、「ME2」と省略して表記する。

　いつもの通り3つの図から（図1）。ビジネス要件は、すべての要素に密接に関係していると考えてもいいだろう。IT資源に関しても同様である。ITガバナンスの要素は、内部統制をきちんと行うことが、結果的にはビジネスに価値を提供し、リスクの管理につながると強調されている。

図1：プロセスとビジネス要件、ITガバナンスの重点領域、IT資源との関係

　次に、コントロール目標をウォーターフロー型で示す。

A：内部統制のモニタリングと評価のコントロール目標は、IT目標の達成を保証してIT関連法規制へのコンプライアンスを確保することをビジネス要件とし、

B：重点をおくべきコントロールは、IT関連活動の内部統制プロセスをモニタリングし、是正措置を特定することである。

C：実現するための手段は、次の3項目である。

• ITプロセスフレームワークに組み込まれる内部統制の仕組みの構築
• ITに関する内部統制の有効性に関するモニタリングと報告
• 是正措置を講じるためのコントロールの例外事項に関するマネジメント層への報告

D：その成果の測定指標は、次の3項目である。

• 内部統制の主要な不備の件数
• コントロールの改善のための取り組みの件数
• コントロールセルフ評価の回数と範囲

　内部統制を具体的にどうするべき、ということには言及していないことに注意してほしい。ここでは、コンプライアンスを確保するために内部統制プロセスを管理する仕組みを作ることが大事だと述べているのである。