企業ITとIT内部統制の必要性

そもそも重要だったIT内部統制

   日本版SOX法をきっかけにIT内部統制に対する関心が高まっている。ここにきて、企業が日本版SOX法に対して、どのような取り組みをはじめたかについての調査データが数多く紹介されてきている。

   いずれの調査においても、2006年3月前後の時点で大企業の6割以上が「日本版SOX法の準備プロジェクトを立ち上げた」「担当者を任命した」と いったような結果が報告されており、多くの企業において何らかの具体的なアクションが開始されたことを示している。2006年4月に内部統制を冠した組織 を新設した企業もいくつか存在する。

   これらの取り組みは、いうまでもなく企業の内部統制強化が本年度から急に必要となったわけではなく、以前から存在した重要課題ではあるが、法制度化をきっかけに対応への準備に時間制限が設けられ、本格化したと考えられる。

   これまでも、企業ではコンプライアンス委員会の設置や、企業リスクや情報セキュリティへの対策、業務の標準化などに取り組んできたが、これから数年 間のイニシアチブの多くは、企業の内部統制報告および内部統制監査を意識して優先順位をつけた取り組みが主流となろう。

   さて、IT部門が投入する技術とプロジェクト管理手法が進化し、IT部門自身が最善を尽くしても、ITプロジェクトが予定通り進まない、あるいはサービスが安定的に提供できないといったリスクはつきまとう。

   米ITPI（Information Technology Process Institute）の調査によると、平均ITオペレーション予算の35%もの額が予期しないダウンタイムへの対処に費やされている。こうした事象の原因 として、ITプロセスに対する内部統制が不十分であることが考えられる。統制の対象が計画策定／プロジェクト管理／オペレーションであろうが、データアク セスやデータの完全性であろうが、適切な統制が機能していなければその被害は甚大となるのだ。

SOX法が求められる背景

   証券取引所や金融機関におけるシステム障害や、大規模な個人情報漏洩といった情報システムに関連するトラブルが、一企業の問題ではなく、経済や社会 に大きな影響をおよぼすことは、昨今の報道を見ても明らかである。事業中断やプロジェクト失敗によって財務面で直接的な損失が生じるだけでなく、組織の信 頼性と社会的評価といった、目に見えず計測しにくい損失が生じる。

   しかし、主要なITプロセスを適切かつ厳正に統制し、統制の妥当性を評価することは、これまで法規制で定められていたわけではなく、個々の組織の自 主性に委ねられていた。自主的に強力なIT統制フレームワークを構築し、統制の妥当性を評価し、独立機関による監査を定期的に受けている組織も存在する が、そうした組織はまだ少数派といえる。

   一方、日本版SOX法（サーベンス・オクスリー法：企業改革法）に代表されるような内部統制強化を求める法制度および社会的な要求は、今後はより一層厳しくなってくることが予想される。

   相次ぐ企業の会計不祥事などの問題や外国人投資家比率の増加といった市場および社会からのプレッシャーを受けて、健全な企業活動と業務処理の適正性 の確保が企業にとって重要な課題となってきた。また、多くの重要なビジネスプロセスはITが中心的な役割を担っていることから、適正な業務処理を実行する ためには、健全なIT環境とIT運営管理の適正性の確保が求められるようになってきている。

   IT内部統制は、日本版SOX法などの法制度化を機に注目を集めるようになったが、企業が本来果たすべき社会責任と、ITを活用するうえで備えるべき体制という観点からは、従前から必要とされていた根源的な重要テーマといえるだろう。