日本版COSOでは、上記の3つの目的、5つの基本的要素に、それぞれ1つずつ項目が追加されます。
目的への追加:
資産の保全:(資産の取得、保管、清算に不正がない)
基本的要素への追加:
ITへの対応:
米国でCOSOが検討されていた1980年〜90年代に比べて、いま(21世紀)では企業におけるITの位置付けが、より重要になっているためこれが加わっています。
最後に奥行き方向が「事業単位と活動」となり、これが統制の対象となります。COSOフレームワークはコーポレート・ガバナンスのフレームワークでもあると先に書いたとおり、統制対象は企業全体となります。そのため、会社全体をどうとらえるかは統制の対象を認識するうえで非常に重要になります。
COSOフレームワークでは会社を「プロセス」の集合と考えます。どういうことかというと、
会社 = A事業部+B事業部+……(事業単位の集合体)
事業部 = 生産+輸送+販売……(活動の集合体)
活動 = 伝票入力+入金+出金……(プロセスの集合体)
すなわち
会社 = プロセス1+プロセス2+プロセス3+……
そのため、統制の対象はあくまでもプロセスであり、社員やモノではないのです。この考え方のベースとなるのは、「正しい手続きでプロセスが実行されればアウトプットは正しいはずである」という属人性を排した考え方であり、実は欧米の企業ではかなり一般的な考え方なのです。
内部統制はこの「プロセスを統制する」、つまり、プロセスの正しさの保証と説明責任を追及していくことになります。そしてこの考え方がITの部分でも非常に重要になってくるのです。
◇
今回は基礎知識として、米国SOX法、日本版SOX法、内部統制のフレームワークとしてのCOSOフレームワークの説明をしました。次回は、この「内部統制においてITをどのように考えるべきか」という部分から考察し、その後、IT内部統制のフレームワークであるCOBITについて説明したいと思います。
中島 浩光(なかじま ひろみつ)
日本CA株式会社 カスタマーソリューションアーキテクト
1993年、アンダーセン・コンサルティング(現アクセンチュア)入社。同社の技術グループにおいて、幅広い業種のITプランニング、SI全般、運用、情報セキュリティ、プロジェクト管理などを経験。2000年ころから情報セキュリティを中心に活動。
2005年1月にCAに入社、2006年6月より現職。現在、セキュリティ製品を中心に顧客へのソリューション提案、アセスメントの実施、セミナーでの講演などを行う。
東京工業大学理工学研究科経営工学修士課程修了
Copyright © ITmedia, Inc. All Rights Reserved.