IT内部統制に関する調査報告書
2006年6月に「金融商品取引法」(通称、日本版SOX法)が制定、2007年2月には「財務報告に係る内部統制の評価及び監査に関する実施基準(以下、「実施基準」と略す)」が公開され、2008年4月からは、いよいよ本番を迎えることになった日本版SOX法。その特徴の1つとして、内部統制の基本的要素に明示された「IT(情報技術)への対応」は、経営と不可分な存在となったITを預かるIT部門やITに関わる業務部門にとって、自らが提供したり利用したりするITサービスの改善や品質向上がますます重要になってきていることを示唆している。しかし、一方で、これら企業のITに関わる部門が参考にできるような、ITサービスを統制するリファレンスとなるような情報は、十分に整備されているとは言いがたい。
このような背景を受け、ソリューションサービス事業委員会では、企業がITの内部統制活動にどのように取り組めば良いのかを調査するため、IT内部統制専門委員会(以下、本委員会と略す)を設置し、2006年度より活動を開始した。本報告書では、本委員会における2007年度の活動に基づき、以下の内容について報告している。
(1) IT内部統制の為の統制項目表(以下、『IT内部統制項目表』と略す)
IT部門の業務に焦点をあてて作成した、ITに関する業務プロセスに応じた統制項目を例示したリファレンス。COBITR for SOXの全12プロセスへの拡充
(2) 内部統制に関わる市場動向調査2007年度の日本企業における内部統制に関する動向アンケート、および個別ヒアリングの調査結果および、2006年度との対比。米国企業などのSOX法対応後の状況のまとめ
本報告書が、これからIT内部統制に取り組む企業の方々にとって、一つの参考になれば大変幸いである。
本委員会では、企業におけるIT内部統制に関するリファレンスの提供を目的に、活動を開始した。検討の結果、ITプロセスに対応した統制方法を体系化し例示することが、IT内部統制の活動をする上で、一つの参考になるのではないかと考えた。その結果、統制方法の例を一覧にした表を『IT内部統制項目表』と名付け、作成することにした。
なお、『IT内部統制項目表』の作成にあたり、企業が優先的に取り組むべき「アプリケーションソフトウェアの調達と保守」、「変更管理」、「システムセキュリティの保証」、「データ管理」の4つのITプロセスに加え、「技術インフラの調達と保守」、「操作、運用手続きの作成と維持」、「システムの導入と受入れ確認」、「サービスレベルの定義と管理」、「サードパーティ管理」、「構成管理」、「問題と事故の管理」、「オペレーション管理」を作成し、COBITR for SOXの全12プロセスを成果とした。
(1) 作成のための要件
IT内部統制に求められる要件を整理し、『IT内部統制項目表』の作成方針を決定。
| A) | ITプロセスに応じた統制項目が、グローバルスタンダードと整合性を保ち体系化されていること |
| B) | 統制方法などが、ITサービスの改善、品質向上活動の参考にできるレベルで提示されていること |
| C) | 「実施基準」に即した内容であること |
| D) | 企業の関心の高いIT内部統制活動に重点がおかれていること |
(2) 『IT内部統制項目表』の概要と使い方
(ア) 『IT内部統制項目表』の各項目の説明
(イ) 『IT内部統制項目表』イメージ
(ウ) 『IT内部統制項目表』の活用シーン
『IT内部統制項目表』の主な利用対象は民間企業のIT部門であるが、ITを活用する業務部門にも参考になると考えている。以下、それぞれ想定される活用シーンについて述べる。
a.IT部門における活用シーン
IT部門には、社内のITサービスの改善・品質向上が求められるため、ITプロセス毎の統制方法を整備することが必要である。『IT内部統制項目表』は、改善したいITプロセスにおいて、その統制項目の例を確認したり、統制したい業務の基準やルール作りに役立てたり、IT活用による効率化のヒントを得ることができる。
b.業務部門における活用シーン
業務部門では、ITを経営に役立つものとするために、システム要件の明確化、設計内容や使い勝手のレビュや承認などの役割が求められる。『IT内部統制項目表』は、業務部門がITに関してなすべき管理項目を知ることが出来、業務とITの連携を効率化する際の参考にすることができる。
本年度の調査を進めるにあたっては、民間企業の内部統制やIT内部統制への取り組み状況についての調査を実施した。その結果、これまでの調査などには無い、体制・人数、コスト・IT投資時期、課題・阻害要因、ITベンダやコンサルティングへの要望が明らかになった。さらに、2006年度の調査結果と対比することで、取り組み度合いやそれに応じた課題が浮き彫りになった。
内部統制の業務に関わる方々が、自社の取り組みをベンチマークする際に役立てて欲しい。
(1) 調査方法
本年度の調査を進めるにあたっては、まず民間企業に対するアンケートを実施して全体の傾向を把握し、さらに個別企業へのヒアリングによって更に詳細な状況を調査することとした。
それぞれの調査方式は下記の通り。
- 期間:2007年10月下旬〜2007年12月下旬
- 方式:アンケート依頼書の送付
- 対象企業数:送付先530社。有効回答の回収152社
- 主なアンケート項目:
・ 企業プロフィール
・ 内部統制全般への取り組み状況
・ IT内部統制全般への取り組み状況
・ ITベンダへの期待・要望
- 期間:2007年12月下旬〜2008年1月下旬
- 方式:面談によるヒアリング
- 対象企業数:6社
- 主なヒアリング項目:
・ 内部統制全般への取組状況
・ IT内部統制全般への取組状況
・ ITベンダへの期待・要望
本委員会の活動として、活動成果の普及促進がある。JEITAセミナ(4月、7月、11月)、itSMF Japan(出展もあり:8月)、CEATEC JAPAN 2007(10月) 、「After J-SOX研究会」(2008年2月)にて講演を行った。さらに、ソリューションサービス事業委員会において同じ専門委員会であるSLA/SLM専門委員会と共に、「ITアウトソーシングで失敗しないSLAチェックポイント294」(日経BP社発行)を出版する(8月)と共に、出版セミナ(9月)で講演した。市場動向調査結果については、ソリューションサービス事業委員会における記者会見にて、その内容の発表を行った(6月)。
2年目を向かえた本委員会では、『IT内部統制項目表』の全12プロセスを完成し、2006年度と対比した市場動向調査に加え、米国SOX法対応のヒアリングなど、他に例のない情報をまとめ、普及活動も十二分に出来たと考えている。
来年度の活動としては、日本版SOX法の本番後における課題整理やAfter J-SOXに代表される次なる打ち手について情報発信をするとともに、市場動向調査を来年度も実施し3年間通した日本版SOX法の企業の対応状況がわかる市場データに纏める予定である。