日米SOX法や内部統制とITの関係を理解しよう！：セキュリティツールで作る内部統制（1）（3/3 ページ）

[中島 浩光，＠IT]

日本版COSO〜内部統制の枠組みのデファクト・スタンダード

　日本版COSOでは、上記の3つの目的、5つの基本的要素に、それぞれ1つずつ項目が追加されます。

目的への追加：

資産の保全：（資産の取得、保管、清算に不正がない）

基本的要素への追加：

ITへの対応：

米国でCOSOが検討されていた1980年〜90年代に比べて、いま（21世紀）では企業におけるITの位置付けが、より重要になっているためこれが加わっています。

　最後に奥行き方向が「事業単位と活動」となり、これが統制の対象となります。COSOフレームワークはコーポレート・ガバナンスのフレームワークでもあると先に書いたとおり、統制対象は企業全体となります。そのため、会社全体をどうとらえるかは統制の対象を認識するうえで非常に重要になります。

　COSOフレームワークでは会社を「プロセス」の集合と考えます。どういうことかというと、

　　会社 ＝ A事業部＋B事業部＋……（事業単位の集合体）

　事業部 ＝ 生産＋輸送＋販売……（活動の集合体）

　　活動 ＝ 伝票入力＋入金＋出金……（プロセスの集合体）

すなわち 　 　

　　会社 ＝ プロセス1＋プロセス2＋プロセス3＋……

　そのため、統制の対象はあくまでもプロセスであり、社員やモノではないのです。この考え方のベースとなるのは、「正しい手続きでプロセスが実行されればアウトプットは正しいはずである」という属人性を排した考え方であり、実は欧米の企業ではかなり一般的な考え方なのです。

　内部統制はこの「プロセスを統制する」、つまり、プロセスの正しさの保証と説明責任を追及していくことになります。そしてこの考え方がITの部分でも非常に重要になってくるのです。

◇

　今回は基礎知識として、米国SOX法、日本版SOX法、内部統制のフレームワークとしてのCOSOフレームワークの説明をしました。次回は、この「内部統制においてITをどのように考えるべきか」という部分から考察し、その後、IT内部統制のフレームワークであるCOBITについて説明したいと思います。

Profile

中島 浩光（なかじま ひろみつ）

日本CA株式会社　カスタマーソリューションアーキテクト

1993年、アンダーセン・コンサルティング（現アクセンチュア）入社。同社の技術グループにおいて、幅広い業種のITプランニング、SI全般、運用、情報セキュリティ、プロジェクト管理などを経験。2000年ころから情報セキュリティを中心に活動。

2005年1月にCAに入社、2006年6月より現職。現在、セキュリティ製品を中心に顧客へのソリューション提案、アセスメントの実施、セミナーでの講演などを行う。

東京工業大学理工学研究科経営工学修士課程修了

「セキュリティツールで作る内部統制」バックナンバー

• 内部統制におけるコンピュータの運用とEUC
• プログラム変更はIT全般統制のもう1つの鍵
• 日本版SOX法でプログラム開発に求められるもの
• 日本版SOX法に必要なセキュリティポリシーとは？
• “正しいログ”と日本版SOX法の関係は？
• IT統制のキモとなる認証とアクセス制御とは
• 統制の鍵となるシステムセキュリティ保証とは
• 日本版SOX法対応のためのIT内部統制とは？
• 内部統制におけるITとCOBITの関係は？
• 日米SOX法や内部統制とITの関係を理解しよう！