連載
» 2006年09月12日 12時00分 公開

やるべきことと、できること、IT全般統制への対応IT担当者のための内部統制ガイド(4)(1/2 ページ)

内部統制のガイドラインといえる実施基準の草案公開が遅れに遅れている。これにより、内部統制の対応方針や具体的な達成目標の設定ができず、多くのベンダや担当者が困っている。これに加えて、米国のケースでは平均1年半必要だったという報告があり、時間がないのは確かだ。いまやるべきことと、できることをまとめた。

[鍋野 敬一郎,@IT]

 実施基準の草案公開が、さらに遅れて10月以降になるようです。

 実施基準の草案は内部統制のガイドラインとなるもので、すでに何度も公開が先送りされています。この実施基準の公開は、内部統制対策プロジェクトにかかわるプロジェクトメンバやITベンダのみならず、監査法人やコンサルティング会社も待ち望んでいるものです。なぜなら、この実施基準こそが、内部統制の対応方針や具体的な達成目標設定の基準になると考えられているからです。

 米国の事例ですが、内部統制の整備には平均して1年半は必要だったという報告が多いのです。日本の場合、2009年3月期の決算報告から内部統制報告書の提出が義務付けられましたから、2008年4月からの会計期間からその評価期間に入ることになります。つまり、2006年8月現在で残された時間はあと1年半と少しということになります。

 先日、大手製造業のIT統括部門の方に話を伺ったところ、その企業ではすでにシステムを保有する全事業部門、全グループ企業の担当者を招集してIT統制に対する対応と対策スケジュールについて説明を行ったそうです。全社レベルの活動については、2006年4月から土日返上でプロセスフローチャートの作成を開始しており、海外拠点に対しても同様に作業を開始しているとのことです。

 「さすがですね」と筆者がいったところ、その方の話ではスケジュールに余裕が少なく、大幅な手戻りや抜けが発見された場合のリスクに危機感を持っているとのことでした。特に既存システムはさまざまなアーキテクチャで、おのおのが独自ルールで開発・運用してきたことから、対策のための最低限の改修や入れ替えに必要なリソースが確保できない可能性があるとのことです。

IT統制対応実現への第一歩

 現状を冷静に考えると、IT統制の整備を期限内に確実に完了させるためには、いますぐにでも作業に入る必要があると思われます。

 IT部門にかかわる方々ならば、十分に理解されていると思いますが、システムは構築が終わったからといって、その時点で問題なく動くことがほとんどないものです。必ずその後に、大なり小なりの微調整や、バグ対応などを何度も経て安定運用に至るものです。これは既存システムの改修を行った場合でも、ERPなどのパッケージを適用した場合でも基本的に同じです。

 ERPの商談でよくある話ですが、経営者や経理担当役員など、システムをよくご存じない方にシステム構築スケジュールを説明すると、「なぜシステム稼働後に、2〜3カ月の安定化作業のコスト(工数)が必要なのか?」といわれます。そして、「新しいシステムの不具合やクセに慣れるためには、新しいPCや新しい携帯電話を使いこなす以上に大変なのです」と説明して、やっと「なるほど」と納得されます。今回の内部統制対策プロジェクトでも、情報システムを期限内に稼働させるためにはこうした配慮が必要だということも含めて説明しておく必要があると思います。

 さて、IT統制対応を進めるうえで、IT全般統制とIT業務処理統制の両方を同時に進める必要があるわけですが、IT担当者がまずやるべきことは、全グループの現行システムの洗い出しかと思います。

 調査項目は、システム名、稼働場所、管理している部門、管理担当者(外部委託の場合には、社内と社外の両方)、プラットフォーム(ハードウェアやOS、DB、利用技術:アーキテクチャなど)、開発(ベンダ名)、運用(部署、担当名)、マニュアルの有無などです。最低限これらの情報を速やかに収集し、システムの漏れがないように整理する必要があります。

 これをベースにしてホスト系、オープン系、EUC系といった分類を行い、その文書化や評価レベルの対応アプローチを立案します。特にエンドユーザーが独自に開発したExcelなどのスプレッドシートベースのシステムや、外部委託していて社内にシステムがないものについて漏れがないように気を付ける必要があります。

IT全般統制のフレームワーク

 IT全般統制の意図するところは、ITを利用した業務処理統制が有効かつ適切に機能する環境を間接的に支える統制であり、その対象として「開発」「変更」「運用・保守」「アクセス管理」などが含まれます(米国SOX法におけるPCAOBの監査基準第2号では、1. プログラム開発、2. プログラム変更、3. コンピュータ運用、4. プログラムやデータへのアクセスの4項目について例示しています)(図1)。

図1:米国SOX法におけるIT全般統制

 IT全般統制のフレームワークとしてよく挙げられるのが、COBIT(Control Objectives for Information and Related Technology)です。COBITは、ISACA(情報システムコントロール協会)とITGI(ITガバナンス研究所)が作成したもので、米国SOX法への対応では半数以上の企業がITに関するフレームワークとしてこれを採用したという話もあります。

 現在では、米国SOX法向けにIT全般統制の項目を財務報告の信頼性に影響を及ぼす項目を絞り込んだ「IT Control objectives for SOX:通称COBIT for SOX」(最新バージョンは2005年12月にリリースされた4.0)があり、有用な実施ガイドラインとして多くの企業で利用されています(図2、図3)。

図2:IT全般統制のフレームワークとしてのCOBITを利用(米国例)

図3:COBIT for SOX:財務報告に影響を及ぼすプロセス

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ