【緊急対策必須】日本版SOX法対応マニュアル(2/2)

内部統制システムとITの接点

　内部統制システムとITの接点は、（1）ITを利用して内部統制システムを整備すること、（2）内部統制システムの対象範囲としての情報システム、の2つに集約できる。

　先述の6つの基本的要素に基づき、内部統制システムのIT化について考えてみよう。

①統制環境

　統制環境とは、「組織の気風を決定し、組織を構成する人々の統制に対する意識に影響を与えるもの」とされている。経営者・従業員、もしくは取引先組織の構成員の気風や倫理的価値観、誠実性、能力、哲学、行動様式が問われることになる。内部統制システムに魂を入れる組織文化ともいえる。事業体の構成員一人ひとりが、内部統制の重要性をきちんと理解して行動に反映させなくては、内部統制システムは機能しない。内部統制システムの整備に責任を持つ経営者は、文化レベルから会社を変えなくてはならない。従業員規模が数万人を超える大企業においては至難の技だ。

　有効なソリューションと考えられるのが、Eラーニングやナレッジマネージメント、コラボレーションシステムなどである。これらを業務に組み込み、日常的に内部統制の重要性に触れる機会を設けることがポイントだ。一方的に教育プログラムを受講させるだけではなく、従業員同士が内部統制について議論を掘り下げたり、ケーススタディを学び合うといったプロセスを通じて、意識の変革を促す。

②リスクの評価と対応

　リスクの評価と対応とは、「組織の目標の達成に影響を与える全てのリスクを識別、分析及び評価することによって、当該リスクへの対応を行う一連のプロセス」と定義されている。リスクの評価と対応を実施するには、まず、内部統制の対象範囲にある業務プロセスを可視化・文書化し、それぞれについて想定されるリスクとコントロール方法を定義していかなくてはならない。こうした作業は、依然として多くの業務プロセスが依然として属人的なままとなっている日本企業にとっては大きなチャレンジだろう。

③統制活動

　統制活動とは、「経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続」をいう。これには、承認や権限の付与、検証、調整、業績の評価、資産の保全および職能の分離といった、広範囲の活動が含まれる。統制活動の方針や手続きがきちんと文書化されていることが重要である。当然、情報システムも対象となるため、IT統制の規定も必要とされる。

④情報と伝達

　これは「必要な情報が組織や関係者相互間に、適切に伝えられることを確保すること」を意味している。経営と統制を成り立たせる上で必要となる各種情報を識別・補足し、それらを組織の上層・下層、横方向を問わず、適切な形式と時間によって提供できなくてはならない。当然、情報システムが深く関わる分野である。対象となる情報には、企業内で発生するデータだけではなく、社外情報も含まれる。情報が提供されるべき対象も、顧客や取引企業、株主、監督機関などに広がる。

　ここで求められるのは、情報システムの本来の目的そのもの、つまり業務システムから経営情報を取り出し、統合された状態で迅速にレポートできる仕組みである。それには、ERP［＊1］などの統合業務システムをはじめ、分断した各種システムを連携させるEAI［＊2］や、ユーザーインターフェイス層を統合するEIP［＊3］、統合データベースの構築などが必須となるだろう。

　また、情報を提供すべき対象者に適切な情報のみを提供するインフォメーション・デリバリーの仕組みが求められる。これには、経営者や株主、外部監査法人向けのダッシュボードが有効だろう。BAM（Business Activity Monitoring）やCPM（Corporate Performance Monitoring）といったソリューションが、改めて脚光を浴びる可能性もある。

⑤モニタリング

　これは「内部統制の有効性を継続的に監視及び評価するプロセス」のことである。監視活動は、日常的監視活動と独立的評価に分けられる。監視活動において発見された内部統制の欠陥は、ただちに経営上層部に報告されなくてはならない。モニタリングにおいては、内部統制の対象となる業務プロセスがきちんと統制されているかを見るだけではなく、事業体を取り巻くリスクの変化も見逃してはならない。そういった監視活動には、前述の「情報と伝達」において求められる情報システムが重要な基盤となるだろう。

　文書化した業務プロセスをデータベース化し、各種業務システムから得られたトランザクションをすべて記録しておくことで、業務執行に不備がないかを、統制目的に照らして監視するシステムが必須である。具体的には、BIなどの分析系アプリケーションを活用することになる。業務プロセスからビジネスルールのみを取り出し、一元管理するRBMS（Rule-Base Management System）も有効であろう。Eメールでのやり取りや、Word文書などの非定型情報を監視するため、CMS（Contents Management System）に、高度な検索エンジンやテキストマイニング技術を組み合わせることも求められよう。

⑥ITへの対応

　日本版COSOでは、ITに関して「情報システムに関連する内部統制を整備及び運用すること」と規定している。ITに関連する内部統制は、大きく「IT全般統制」［＊4］と「IT業務処理統制」の2つに分けられている。

　「IT全般統制」とは、ハードウェアやネットワークの運用管理、ソフトウェアの開発・変更・運用・保守、セキュリティ、システムの導入などを対象としている。いわゆるITガバナンスであり、情報システムに潜在するリスクを極小化するための統制である。ビジネス継続性を確保するため、バックアップやディザスタリカバリ体制の整備、ユーザー認証、アクセスログやネットワークログの監視、ファイルや回線の暗号化など、情報漏えいや不正侵入を防ぐセキュリティインフラの整備などが求められる。情報システムの運用を請け負う外部受託者も内部統制の対象となり得る。外部受託者は顧客にサービスレベル保証（SLA：Services Level Agreement）やオペレーションプロセスの透明性を提供しなくてはならない［＊5］。

　「IT業務処理統制」とは、アプリケーションに組み込まれた内部統制を指している。承認されたトランザクションデータがすべて正確に処理・記録されることを確保することを意味する。入力データの多重チェック機能や、網羅性を確保するための合計値照合、正当性を確保するための限度チェックなどが求められる。これらのロジックを既存業務システムに新たに組み込むのは企業ユーザーにとって大きな負担となるが、アドオンで作り込めばその後の保守コストが増大してしまう。そこで、こうしたチェック機能を階層化してユーザーインターフェイスとシステムの間に設置し、チェッキングルールのみをRBMS（Rule Based Management System）で統合管理する仕組みが有効となるだろう。

　以上のようなソリューションを駆使することで、内部統制システムを効果的に作り上げなくてはならない。

最後に

　内部統制本来の目的は「企業価値の向上」である点を忘れてはならない。法令遵守のみを念頭において日本版SOX法対策を進めるのでは、単なるコストでしかない。日本版SOX法対策を契機として、攻めの経営を支えるITインフラを整備するといった姿勢が必要だろう。実施基準が公表されていない現在、「具体的に何をすべきかわからない」という迷いは当然ではあるが、原点に立ち返り、「企業価値を向上させる内部統制システム・情報システムのあり方」をじっくり考えてみれば、すべきことが見えてくるはずだ。

脚注
［＊1］ERP
Enterprise Resource Planningの略。経営資源活用の観点から、経営の効率化を図るための手法・概念のこと。「企業資源計画」と訳される。

［＊2］EAI
Enterprise Application Integrationの略。業務に使用される複数のシステムを連携させ、データやプロセスの効率化をはかること。

［＊4］EIP
Enterprise Information Portalの略。企業内にあるデータベースを横断的に統合し、クライアントPCなどで一元的に最適な情報を表示するシステム。

［＊5］全般統制
全般統制を整備するには、ITガバナンスの各種フレームワークである、ITGI（IT Governance Institute）の「COBIT」（Control Objectives for Information and Technology）、「ISO/IEC 17799:2000」（JIS X 5080:2002）、経済産業省の「システム管理基準」などが役立つだろう。

［＊6］透明性を提供しなくてはならない
アウトソーサー自身が、米国監査基準SAS70のようなシステム監査を受ける必要も出てくる。

---

伊藤芳之
IDC Japan
ITスペンディング リサーチアナリスト
IT専門誌の記者・副編集長を経て現職。IDC Japan ITスペンディング リサーチアナリストとして、国内IT投資市場の調査・分析を担当。主な調査レポートに、「日本版SOX市場予測： IT投資拡大のシナリオ」、「国内中堅企業IT投資意向調査 2006年版」、「国内製品別IT市場分析と予測」など。