内部統制におけるITとCOBITの関係は?セキュリティツールで作る内部統制(2)(1/2 ページ)

前回は米国SOX法や日本版SOX法の概要と、その中で求められている内部統制のフレームワークであるCOSOフレームワークと日本版COSOフレームワークについて解説した。今回はまず、「内部統制においてITをどのように考えるべきか?」という部分を考察し、その後にIT内部統制フレームワークであるCOBITについて説明する。

» 2006年04月21日 12時00分 公開
[中島 浩光@IT]

 前回は米国SOX法日本版SOX法の概要と、その中で求められている内部統制のフレームワークである「COSOフレームワーク」「日本版COSOフレームワーク」について、簡単に解説しました。そして、「内部統制にはIT、IT部門もかかわってくる」と触れました。

 今回はまず、この「内部統制においてITをどのように考えるべきか?」という部分から考察し、その後にIT内部統制のフレームワークであるCOBITについて説明します。

内部統制における「IT」の位置付け〜統制の対象

 日本版COSOフレームワークにおいて、内部統制の基本的要素として「ITへの対応」が付け加えられたのは、「現在の企業ではITを抜きにして内部統制を考えることは不可能」だからです。言い換えれば、米国SOX法や日本版SOX法の対象となる企業の活動において、ITがまったく活用されていないことは“ほぼあり得ない”ということです。そのくらい、ITは企業活動にとって重要かつ不可欠の要素となっています。では、ITもしくは情報システムとはそもそも企業活動においてどう定義されるのでしょうか?

 まず、情報システムが企業内にない場合の業務プロセスを想像してみます。

  1. 営業社員が発注書を紙のフォームに記入し、営業事務に渡す
  2. 営業事務はその紙を持って、営業部長の承認を取りにいく
  3. 営業部長が承認する
  4. 営業事務は発注の内容を一覧表に転記し、発注書の写しを出荷担当に持っていく
  5. 作られた一覧表を週次(もしくは月次)で、会計課に持っていく

 などなど……。

 上記のプロセスは情報システムが導入されると、以下のようなプロセスに変わります。

  1. 営業社員が情報システムの発注画面に必要な情報を入力する
  2. 営業部長が情報システムの承認画面から承認を行う
  3. 出荷担当に発注データが送られる
  4. 会計課では週次(もしくは、月次)で一覧表が出力される

 このように、情報システム導入の前後を比較するとよく分かるのですが、情報システムは「業務プロセスの一部を代替するもの」、つまり「情報システムは業務プロセスそのものである」と定義することができます。

 また、情報システムは実行プログラムだけで動くわけではなく、ハードウェアやネットワーク、OSなども必要となりますし、適切な設定や運用がなくては動きません。そのため、情報システムとITサービス(情報システムサービス)までを、この「業務プロセスそのものである」という定義に含める必要があるでしょう。

 そのため、「各業務で使用されている情報システム」と「情報システムサービスを提供している情報システム部門」を含めて業務プロセスとして定義するのであれば、それはCOSOフレームワークにおける内部統制の対象となり、その正しさの保証と説明責任を追及する必要があるのです。

内部統制における「IT」の位置付け〜統制の手段

 内部統制におけるIT(情報システム)の位置付けを考えるに当たり、考慮しなくてはいけない点に「情報システム導入による効果」が挙げられます。

 情報システム導入による効果、つまり、業務プロセスをシステム化する目的にはいろいろありますが、多くの情報システムの導入目的には「業務の効率化」があります。

 業務の効率化には、作業時間の短縮や作業負荷の減少といった目的ももちろんありますが、ほかにも重要な点として「ミスの減少」があります。これは手作業の場合、記入・計算・転記などの部分でミスが発生する可能性があり、その修正作業が全体の効率を落とすため、情報システムを導入して自動化することでミスを少なくし、全体の効率を上げるというものです。

 内部統制においては、この「ミスの減少」というのは「全体の効率を上げる」という意味以上に、実は非常に大きな意味があります。それは、「不正やミスは人間が介在するところに発生する」という考え方であり、裏を返せば「情報システム自体は正常に稼働している限り不正やミスをしない」ということなのです。

 つまり、業務がシステム化されているということは、それだけ不正やミスが発生しにくい仕組みになっているということになります。

 例えば、「ファイルサーバ上にある特定ファイルには、部長職以上の人しかアクセスさせない」というルールを決めた場合を考えます。このとき、従業員全員に対して「このファイルは部長職以上しかアクセスしてはいけません」と通知し、システム的にはアクセスできる状況の場合、マニュアル(運用)による統制を行ってはいますが、実際のアクセス管理という意味では非常に弱くなります(強制力が弱い)。

 一方で、ファイルに対してシステム的にアクセス制限を実施し、部長職以上の権限を持つID以外はアクセス不可とすると、アクセス管理は強力になります(強制力が強い)。つまり、システムによって、より強制力を備えた統制が行えるということなのです。これをCOSOのフレームワークに従って考えると、ITは「統制の手段」としてとらえることが可能であり、基本的要素に加えられた「ITへの対応」とは、まさにこのことであると考えられるのです。

COSOフレームワークにおけるITの位置付け
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ