アフターJ-SOX 〜内部統制構築技術〜(3)

経営企画室.com 2009-06-02 13:00:00

船井総合研究所の菊地と申します。

アフターJ-FOXとして内部統制について考える、第三回目の投稿です。

今回は、IT全般統制の誤解について考えてみます。

前回、国内企業におけるJ-SOX対応という名の内部統制普及に、IT特需に期待する営業の観点からIT業界が一役かうことで、特にIT全般統制にフォーカスが当たった側面があるということを述べました。

そして、IT全般統制を内部統制構築の中核要素として遡上にのせる論拠として、多くはCOBITが使われています。

COBITとは、ISACA(情報システムコントロール協会)とITG(ITガバナンス研究所)によって策定された、IT統制に関する指針を示したフレームワークです。

そのIT統制を、情報処理そのもののアプリケーション統制と、そのベースとなるインフラ統制に分け、インフラ統制をIT全般統制として表現するのが諸説ありますが主流です。

確かに、日本国内で内部統制の論点が法制化されるにおいて、J-SOXという呼称が流布したことからも明らかなように、米国SOX法が参照されており、その米国SOX法が内部統制の構築および運用上フレームワークの積極的な参照を推奨しており、その一つとして、IT統制領域に関連するCOBITも挙がっています。

 

しかし、ここで考えてみてください。

日本における内部統制法制化の起点となった、米国SOX法は、

   (1)エンロン等、大規模な会計粉飾による経済事件が立て続けに発生し
   (2)それが、トップも関与した組織ぐるみの投資家背任だったことから
   (3)投資家保護の観点において、組織的に上場モラルの統制が求められ
   (4)財務情報公開の適正化に向けて
   (5)SOX法としてトップの宣誓要求とともに内部統制が義務化された

というのが大まかな流れです。

極論すれば、企業の利益至上主義による“組織的な”モラル低下を、内部統制という多重化された監視の仕組みを作り、社内監視の網の目のどこかで組織上の歯止めをかけようということです。

そこで、いきなり内部統制といっても企業活動の全般に及ぶため、策定の難易度が高いだろうということで、フレームワークの参照を推奨しているのです。

そして、組織活動の一論点として、IT統制が必要と判断された時において、COBITが参考になると言っているに過ぎません。

にも関わらず、SOX法でフレームワークの参照を求めており、その一つとしてCOBITが挙げられているからといって、内部統制の直接的な根拠としてCOBITを前提扱いするのは違和感があります。

 

さらにもう一つ、IT業界からの提案には恣意的な論理ジャンプがあります。

結論からいうとそれは、情報セキュリティ関連製品を内部統制に絡めて売りたいという志向性に基づくものです。

仮にITにリスクハザードが集中したと判断され、COBITを参照したとして、COBITでは、情報要請基準(有効性、機密性等)、計画と組織(IT戦略、投資管理等)、調達と導入(保守、変更管理等)、サービス提供とサポート(サービスレベル管理、構成管理等)、モニタリングと評価、IT資源といった論点で構成され、その起点はビジネス目標に置いています。

にも関わらず、あくまでフレームワーク中の一論点に過ぎない情報セキュリティ、さらに特には、そのうちの一論点に過ぎない不正アクセスを、内部統制上の中核リスクとして喧伝し、アクセスコントロールツールや文書管理ツール、果てはプリンターまで情報セキュリティを強化する内部統制対応ツールという提案が横行しました。

しかし、投資家保護のための財務情報公開の信頼性保全という大本の目的に立つと、そのリスクは不正アクセスや個人的なセキュリティ上の所業による性質などよりも、資金調達スキームや在庫・利益の捉え方など、組織的な判断による性質の方がよほど大きい。

それはIT統制というCOBITの枠を超えた課題であり、ましてや情報セキュリティという狭い範囲の話ではありません。

そう、IT全般統制など所詮は内部統制上の付随要素に過ぎず、さらにその中の一論点に過ぎない情報セキュリティなど、極論すれば末端論なのです。

しかしながら実際、IT運用の現場で何度か、内部統制が法制化するので、うちも情報セキュリティを全面的に見直さなければならない、という声をお聞きしました。

情報セキュリティの保全が企業において必要であることは否定しませんが、内部統制を起点に、幾重にも論理を飛ばしていきなりそこに飛ぶのはいかがなものか、と私は考えています。

 

【関連セミナー】
〜内部統制の対応コストは本当に適正ですか?〜
≪無料≫内部統制コスト削減方法徹底公開セミナー
セミナーの詳細はこちら↓
http://www.funaisoken.co.jp/site/seminar/semina_1242104478_0.html

 

菊地 広記菊地 広記
外資系ITベンダーなど10年間のIT技術者キャリアを経て現職に至る。現職では、チャネル戦略構築、持株会社設立、シェアードサービス会社設立、PMIなどの戦略系コンサルティングと、ITIL、情報セキュリティといったITコンサルティングを経験し、経営戦略とIT戦略の双方に造詣を持つ。コンサルティング活動としては、アウトプット主義を貫きつつディスカッションベースのファシリテーションによって現場をアクティベートする手法を得意とする。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。