2006年6月に「金融商品取引法」（通称、日本版SOX法）が制定、2007年2月には「財務報告に係る内部統制の評価及び監査に関する実施基準（以下、「実施基準」と略す）」が公開された。2008年度は本番となり、2009年度に上場企業は初めて内部統制報告書を提出することになっている。その日本版SOX法の特徴として、内部統制の基本的要素に「IT（情報技術）への対応」が明記されたことは、もはや企業経営にITが欠かすことの出来ない存在となったことを示唆している。また、IT部門やITを活用する業務部門にとって、自らが提供したり利用したりするITサービスの改善や品質向上はますます重要になってきている。一方で、これら企業のITに関わる部門が参考にできるような、ITサービスの統制を支援するリファレンスは、十分に整備されているとは言いがたい。
　ソリューションサービス事業委員会では、企業がITの内部統制活動にどのように取り組めば良いのかを調査するため、IT内部統制専門委員会（以下、本委員会と略す）を設置し、2006年度から活動してきた。本書は、本委員会の三年間の活動のまとめであり、以下の内容を報告するものである。

　(1)　IT内部統制の為の統制項目表（以下、『IT内部統制項目表』と略す）

IT部門の業務に焦点をあてて作成した、ITに関する業務プロセスに応じた統制項目を例示したリファレンス。COBIT®for SOXの全12プロセスを対象としている

『IT内部統制項目表』の統制を効率化する手段として、ITツールの活用がある。現在市場で呼称されるITツール名を軸に、統制項目毎にどう適用するかを整理したリファレンス

2008年度の日本企業における内部統制に関する動向アンケート、および個別ヒアリングの調査結果について、2006年度および2007年度と比較状況のまとめ

今後も継続活動する企業の内部統制における強化・改善のポイントについて提言

本報告書が、IT内部統制に取り組む企業の方々にとって、参考になれば大変幸いである。

本委員会では、企業におけるIT内部統制に関するリファレンスの提供を目的に検討した結果、ITプロセスに対応した統制方法を体系化して例示することが有効であると考えた。そして、システム管理項目と発生リスクに対して、統制項目／利用ITツール／規程類／実施基準対応を一覧表にした『IT内部統制項目表』を作成することにした。なお、『IT内部統制項目表』は、企業が優先的に取り組むべきCOBIT®for SOXの全12プロセス、すなわち「アプリケーションソフトウェアの調達と保守」、「技術インフラの調達と保守」、「操作、運用手続きの作成と維持」、「システムの導入と受入れ確認」、「変更管理」、「サービスレベルの定義と管理」、「サードパーティ管理」、「システムセキュリティの保証」、「構成管理」、「問題と事故の管理」、「データ管理」、「オペレーション管理」を対象とした。

　(1)　作成のための要件
IT内部統制に求められる要件を整理し、『IT内部統制項目表』の作成方針を決定。

A)	ITプロセスに応じた統制項目が、グローバルスタンダードと整合性を保ち体系化されていること
B)	統制方法などが、ITサービスの改善、品質向上活動の参考にできるレベルで提示されていること
C)	｢実施基準」に即した内容であること
D)	企業の関心の高いIT内部統制活動に重点がおかれていること

　(2)　『IT内部統制項目表』の概要と使い方

　　(ア)　『IT内部統制項目表』の各項目の説明

表1.1　『IT内部統制項目表』の項目

『IT内部統制項目表』の主な利用対象は民間企業のIT部門であるが、ITを活用する業務部門にも参考になると考えている。以下、それぞれ想定される活用シーンについて述べる。

ａ．IT部門における活用シーン
IT部門には、社内のITサービスの改善・品質向上が求められるため、ITプロセス毎の統制方法を整備することが必要である。『IT内部統制項目表』は、改善したいITプロセスにおいて、その統制項目の例を確認したり、統制したい業務の基準やルール作りに役立てたり、IT活用による効率化のヒントを得ることができる。

ｂ．業務部門における活用シーン
業務部門では、ITを経営に役立つものとするために、システム要件の明確化、設計内容や使い勝手のレビュや承認などの役割が求められる。『IT内部統制項目表』は、業務部門がITに関してなすべき管理項目を知ることが出来、業務とITの連携を効率化する際の参考にすることができる。

前項の『IT内部統制項目表』において、統制項目が自動化できる発生リスクを抜き出し、利用ITツールを軸に整理した。この際、現在市場にあるITツールを分類し、一般的に呼称されている名前で一覧表を作成した。各表の統制項目に、利用するITツールがどう有効なのかを明記している。

　(1) 『ITツール適用項目表』の概要と使い方

　　(ア)　『ITツール適用項目表』の各項目の説明

表2.1 『ITツール適用項目表』の項目

『ITツール適用項目表』は『IT内部統制項目表』と一緒に活用することを前提に作成しており、主な利用対象者は『IT内部統制項目表』と同様に、民間企業のIT部門および、業務部門になると考えている。また、企業に内部統制対応の効率化や品質向上を提案するシステムインテグレータやツールベンダにとっても有効である。以下、それぞれ想定される活用シーンについて述べる。

ａ．IT部門における活用シーン
IT部門において、『IT内部統制項目表』に例示されている統制項目の効率化を検討する際、例示されている利用ITツールがカバーする統制項目を『ITツール適用項目表』によって逆引きすることができるため、ITツールの機能を最大限に活かしたITプロセスの設計が可能となる。

ｂ．業務部門における活用シーン
『IT内部統制項目表』および『ITツール適用項目表』により、ITで管理すべき管理項目とそれを効率化することが可能なITツールを知ることができ、業務とITの連携に対する理解を深めることができる。

ｃ．システムインテグレータ、ツールベンダなどにおける活用シーン
内部統制関連ツールを提案する際、ITツールを利用することで得られる「具体的な解決事項と、監査項目／統制項目との紐付け」が求められることが多い。『ITツール適用項目表』を利用することで、ITツールの導入理由を明確化にすると共に、具体的な訴求ポイントを示すことが可能であり、IT部門が行うべき内部統制の効率化や品質向上の理解の促進につなげることができる。

本年度の調査を進めるにあたっては、民間企業の内部統制やIT内部統制への取り組み状況についての調査を実施した。その結果、これまでの調査などには無い、体制・人数、コスト・IT投資時期、課題・阻害要因、ITベンダやコンサルティングへの要望が明らかになった。さらに、2006年度、2007年度の調査結果と対比することで、取り組み度合いやそれに応じた課題が浮き彫りになった。
内部統制の業務に関わる方々が、自社の取り組みをベンチマークする際に役立てて欲しい。

　(1)　調査方法
本年度の調査を進めるにあたっては、まず民間企業に対するアンケートを実施して全体の傾向を把握し、さらに個別企業へのヒアリングによって更に詳細な状況を調査することとした。
それぞれの調査方式は下記の通り。

　(ア)　アンケート（定量調査）調査仕様

1. 期間：2008年9月下旬〜2008年11月下旬
2. 方式：アンケート依頼書の送付
3. 対象企業数：送付先1,090社。有効回答の回収261社
4. 主なアンケート項目：
   　・　企業プロフィール
   　・　内部統制全般への取り組み状況
   　・　IT内部統制全般への取り組み状況
   　・　ITベンダへの期待・要望

1. 期間：2008年12月下旬〜2009年1月下旬
2. 方式：IT内部統制担当者に対する直接面談ヒアリング
3. 対象企業数：5社
4. 主なヒアリング項目：
   　・　内部統制全般への取組状況
   　・　IT内部統制全般への取組状況
   　・　ITベンダへの期待・要望

本委員会の活動として、活動や成果の普及促進がある。2008年度はJEITAセミナ（7月）での講演に加え、ITmedia エグゼクティブ（6月）のパネルディスカッションでも活動成果の紹介を行った。

2009年度初頭の内部統制報告書を出した後も、企業は内部統制の維持／強化を継続しなければならない。また、新たに発生した内部統制コストを軽減するためには、対象範囲やプロセスの見直し、業務プロセスの標準化や共通化に加え、統制活動を自動化するITツールの活用が有効となる。今回のアンケート結果でも、IT全般統制の自動化はまだ多くの企業が発展途上であり、本年度作成した『ITツール適用項目表』はIT部門での活用のみならず、ITベンダとの交渉にも活用できると考えている。
また、今後の内部統制の強化／改善の認識において、法対応以上の発展的な取り組みに対する意識もあることがアンケート結果から分かった。その際に検討すべきテーマとして、連結経営やERM(エンタープライズ・リスク・マネジメント)の捉え方についても触れている。
本委員会の活動は本番を迎えた2008年度で終了となるが、3年間の活動成果が、今後の企業における内部統制の強化および効率化に役立つことを期待したい。