企業ITとIT内部統制の必要性

日本版SOX法が企業ITにおよぼす影響

   日本版SOX法において、企業情報システムに影響がおよぶと考えられる記述を2005年7月に公表された公開草案および12月に発表された修正案から抜き出してみると表1の通りである。

   リスクの評価と対応、情報と伝達、モニタリングおよびITへの対応におけるITの利用および統制（業務処理統制）に記述された内容は、主に業務活動 の適正性の確保を意図したものであり、これまで以上に業務プロセスの可視化、モニタリングおよび記録保持への取り組みが求められることとなろう。

   リスクの評価と対応には、個人情報保護や災害対策といったITリスク関連の対応も含まれると考えられる。情報と伝達およびモニタリングに関しては、 情報の開示や共有のための基盤を整備することに加えて、ビジネス上の問題を早期に察知するためにアラートをあげる仕組みが求められよう。

   一方のIT環境への対応（全般統制）の内容は、まさにIT運営の適正性の確保を意図したものであり、運営体制の強化、IT関連業務の手順化、標準化 および文書化が求められる。こうしたITに関わる統制を強化することで、セキュリティの確保を含み適正に運営された情報システムの上で、適正な業務活動が 行われることが上場企業の条件となることを意味する。

   同基準案に記述された内容を分析すると、IT部門には以下にあげるような観点が求められると考えられる。

情報システムおよびIT運営の適正性を確保するという観点（IT全般統制）

   これまで以上にITマネジメントの強化が求められると考えられる。ユーザまかせにしている部門システムを含むすべてのアプリケーションについて責任 者、利用状況、個人情報や機密情報の有無、アクセス制御、ID管理などについて、IT部門が実態を正確に把握していることが重要な要件となろう。また今後 は、適正な開発・運用が行われていることについての説明責任を果たすための業務規定や手順の文書化や、監査に対する関心も高まることが予想される。

業務活動の適正性の確保という観点（IT業務処理統制）

   これまで取り組んできた会計システムを中心とする業務システムの整備に加えて、記録保持、データの正確性の証明（タイムスタンプ、承認権限など）、モニタリング、アラートなどの機能強化が求められることが予想される。

恣意的操作の排除

   責任および役割分担の明確化、承認プロセスの充実、アプリケーションやデータベースに対する参照・更新権限の設定といったIT側面への対応にとどま らない考慮が必要になると考えられる。制御設定を書き換える権限を誰にもたせるか、システムを利用せずに行われる調整などをどこまで許容するか、どこまで 監視するかなど、内部統制のルールや体制に関する対応をあわせて考慮することが求められる。

CIOの役割

   CIOおよびIT部門は、これまでのようにITを活用して業務の効率化やサービスの向上などに間接的に貢献するという任務に加えて、企業活動の適正 性の確保やその保証のための仕組みの提供という、IT内部統制の担い手としての役割を果たしていくことが求められる。

   特にCIOの役割として重要となるのは、IT内部統制環境の整備とITの適正運営および利用に関する企業風土改革の断行である。次回は、日本版SOX法への対応とIT内部統制に強化に向けて求められる取り組みについて述べる。