「紺屋の白袴」状態のIT部門:J-SOX法対策の死角となるか? IT統制の標的 第6回
内部統制への関心が高まると同時に、企業は自社のITシステムがどの程度成熟しているのかを確認するようになったといわれる。その結果、ITのスペシャリストが集うはずのIT部門が、実は最も未熟だったことが表面化してきたという――。
ITシステムの成熟度調査への需要増
J-SOX法にまつわる内部統制の原案ともいえる「財務報告に係る内部統制の評価及び監査」の公開草案は、2005年7月の第11回内部統制部会後に公表された。これにより、各企業における内部統制への関心は高まることになり、専門家には問い合わせが相次ぐようになったといわれる。IT調査会社のアイ・ティ・アール(ITR)にもそのころから、顧客企業からの相談が寄せられるようになった。
そこでITRは2月、企業のITシステムの成熟度に対する客観的評価サービス「IT@ガバナンス」を体系化し、提供し始めた。1000問の設問にイエス/ノーで答えてもらった結果を、3つの評価軸――ITRが提唱するITマネジメント・モデル、COBIT(※)、ITR独自の対応領域別の見方――で評価する枠組みで、IT部門において体制、手順、文書化がそれぞれできているかどうかを5点満点で示すものだ。現在、大手企業を中心に20社近くにサービスしているという。
ITR代表取締役の内山悟志氏によると、「IT@ガバナンス」の指標において、高い点数をとれるようであれば内部統制上は問題ないといえる目安が示される。ただ、その尺度はITがビジネスにどう貢献するかというものとは異なるため、ただスコアが高ければいいということにはならないようだ。
IT部門は自らを採点できず
内山氏は、「IT@ガバナンス」は自社のITのマネジメントがきちんとできているかどうかを見るもので、J-SOX法でいうところのIT全般統制に焦点を当てたものになっていると説明する。IT業務処理統制は、財務や経営企画部門などがイニシアチブをとり、全社的な業務フローを確認した後、最終的にITで処理する部分の対応をIT部門に依頼するといったように、IT部門だけでは進めないところがある。一方、IT全般統制は、IT部門が全面的に責任を負わなければならないものであるため、IT部門が独自に始められるプロジェクトだという。そこで、IT部門に対し、「まずは『己を知る』ということ」(内山氏)の手助けを始めたのである。
内山氏によると、IT部門はこれまで、ユーザー部門のための業務フロー作成、ERPを導入するための業務分析などを一生懸命やってきたが、自部門を振り返ると、文書化されているどころか標準化など全くされておらず、属人的な慣習が漂っているという、統制上好ましくない状況にある。まさに、「紺屋の白袴」(内山氏)という状況なのだ。それに気付いていながらも、それがどの程度悪いのか、J-SOX法適用後はどのように不適切だといわれるのかが分からないというように、自らに客観的な通信簿をつけられない状態となっているのである
「国内企業のIT部門には落とし穴がある。その一番の特徴は、当たり前のことができていないというところだ」と、内山氏は指摘する(「月刊アイティセレクト」1月号の特集「J-SOX対策の死角となるか? IT統制の標的」より)。
*本稿では、内部統制を日本版SOX(J-SOX)法により課される部分を中心として考える。2006年5月施行の会社法や各金融商品取引所(現行の証券取引所)が定める規則(上場基準など)に従う部分は基本的に考慮に入れていない。ちなみに、J-SOX法とは6月に公布された「金融商品取引法」の一部を指す(12月1日の記事参照)。
*本稿は、可能な限り最新情報を盛り込んでいるものの、基本的に2006年11月15日時点の情報に基づく。
※ 米国のITコントロール協会(ISACA)が提唱する、ITガバナンスの成熟度を測るフレームワーク。
関連記事
- J-SOX法対策の死角となるか? IT統制の標的 第7回:IT部門が生まれ変わるチャンスに!?
内部統制において、その基準を満たさないネックとなるのが、なんとIT部門になるとか。なぜ、かくもそうなったか。ただ、そんなIT部門にとっての「不遇の時代」は、幕を閉じることになる可能性もでてきた――。 - J-SOX法対策の死角となるか? IT統制の標的 第5回:内部統制で「×」となってもいい!?
内部統制が有効とならないケースは増えるという見方は強い。だとすると、そうした企業には何が起こるのだろうか。果たして、内部統制は不適正なままでいいのだろうか。 - J-SOX法対策の死角となるか? IT統制の標的 第4回:内部統制で「×」となる会社は多い!?
J-SOX法対策では、SOX法対策での「反省」を基にガイドラインが築かれつつある。それでも、内部統制が有効とならないケースは増えると見られている――。 - J-SOX法対策の死角となるか? IT統制の標的 第3回:評価範囲の選定プロセスに潜む落とし穴
内部統制が有効であるためには、その評価範囲を選定するのに知っておかなければならないことがある。安易に考えて臨むと、泣きを見ることになりそうだ――。 - J-SOX法対策の死角となるか? IT統制の標的 第2回:評価対象は「己」が決める
金融庁企業会計審議会が11月に公表した内部統制の実施基準案(公開草案)により、「姿」が浮き彫りになりつつある内部統制。一体だれが評価するのか。またその範囲は……。 - J-SOX法対策の死角となるか? IT統制の標的 第1回:再確認! 内部統制とは
何かと話題の内部統制。具現化しづらかったその実態は、浮き彫りになりつつあるようだ。11月になって、ようやくその実施基準案(公開草案)が公開された――。 - 【特集】J-SOX法対策の死角となるか? IT統制の標的
- 業務とアプリの「見える化」でJ-SOX対応を強化するSSJ
エス・エス・ジェイは、業務アプリケーション「SuperStream」において、アプリケーションと業務の可視化を推し進めることで内部統制に本格対応していく方針を明らかにした。 - 内部統制強化に向けたIT全般統制で豆蔵とウイングアークテクノロジーズが協業
豆蔵とウイングアークテクノロジーズは、IT全般統制を短期間で効果的に整備するポインティングコンサルティングパッケージを共同で開発・提供することで合意した。
Copyright© 2010 ITmedia, Inc. All Rights Reserved.