前回は米国SOX法や日本版SOX法の概要と、その中で求められている内部統制のフレームワークであるCOSOフレームワークと日本版COSOフレームワークについて解説した。今回はまず、「内部統制においてITをどのように考えるべきか?」という部分を考察し、その後にIT内部統制フレームワークであるCOBITについて説明する。
前回は米国SOX法や日本版SOX法の概要と、その中で求められている内部統制のフレームワークである「COSOフレームワーク」「日本版COSOフレームワーク」について、簡単に解説しました。そして、「内部統制にはIT、IT部門もかかわってくる」と触れました。
今回はまず、この「内部統制においてITをどのように考えるべきか?」という部分から考察し、その後にIT内部統制のフレームワークであるCOBITについて説明します。
日本版COSOフレームワークにおいて、内部統制の基本的要素として「ITへの対応」が付け加えられたのは、「現在の企業ではITを抜きにして内部統制を考えることは不可能」だからです。言い換えれば、米国SOX法や日本版SOX法の対象となる企業の活動において、ITがまったく活用されていないことは“ほぼあり得ない”ということです。そのくらい、ITは企業活動にとって重要かつ不可欠の要素となっています。では、ITもしくは情報システムとはそもそも企業活動においてどう定義されるのでしょうか?
まず、情報システムが企業内にない場合の業務プロセスを想像してみます。
などなど……。
上記のプロセスは情報システムが導入されると、以下のようなプロセスに変わります。
このように、情報システム導入の前後を比較するとよく分かるのですが、情報システムは「業務プロセスの一部を代替するもの」、つまり「情報システムは業務プロセスそのものである」と定義することができます。
また、情報システムは実行プログラムだけで動くわけではなく、ハードウェアやネットワーク、OSなども必要となりますし、適切な設定や運用がなくては動きません。そのため、情報システムとITサービス(情報システムサービス)までを、この「業務プロセスそのものである」という定義に含める必要があるでしょう。
そのため、「各業務で使用されている情報システム」と「情報システムサービスを提供している情報システム部門」を含めて業務プロセスとして定義するのであれば、それはCOSOフレームワークにおける内部統制の対象となり、その正しさの保証と説明責任を追及する必要があるのです。
内部統制におけるIT(情報システム)の位置付けを考えるに当たり、考慮しなくてはいけない点に「情報システム導入による効果」が挙げられます。
情報システム導入による効果、つまり、業務プロセスをシステム化する目的にはいろいろありますが、多くの情報システムの導入目的には「業務の効率化」があります。
業務の効率化には、作業時間の短縮や作業負荷の減少といった目的ももちろんありますが、ほかにも重要な点として「ミスの減少」があります。これは手作業の場合、記入・計算・転記などの部分でミスが発生する可能性があり、その修正作業が全体の効率を落とすため、情報システムを導入して自動化することでミスを少なくし、全体の効率を上げるというものです。
内部統制においては、この「ミスの減少」というのは「全体の効率を上げる」という意味以上に、実は非常に大きな意味があります。それは、「不正やミスは人間が介在するところに発生する」という考え方であり、裏を返せば「情報システム自体は正常に稼働している限り不正やミスをしない」ということなのです。
つまり、業務がシステム化されているということは、それだけ不正やミスが発生しにくい仕組みになっているということになります。
例えば、「ファイルサーバ上にある特定ファイルには、部長職以上の人しかアクセスさせない」というルールを決めた場合を考えます。このとき、従業員全員に対して「このファイルは部長職以上しかアクセスしてはいけません」と通知し、システム的にはアクセスできる状況の場合、マニュアル(運用)による統制を行ってはいますが、実際のアクセス管理という意味では非常に弱くなります(強制力が弱い)。
一方で、ファイルに対してシステム的にアクセス制限を実施し、部長職以上の権限を持つID以外はアクセス不可とすると、アクセス管理は強力になります(強制力が強い)。つまり、システムによって、より強制力を備えた統制が行えるということなのです。これをCOSOのフレームワークに従って考えると、ITは「統制の手段」としてとらえることが可能であり、基本的要素に加えられた「ITへの対応」とは、まさにこのことであると考えられるのです。
Copyright © ITmedia, Inc. All Rights Reserved.