今こそ見直すべきIT内部統制評価

J-SOX(日本版SOX法)適用初年度にあたり、多くの上場企業が2009年上半期中に内部統制報告書の提出時期を迎える。いわば、がむしゃらに対応してきた初年度対応の最中であるが、一部の上場企業はすでにJ-SOX対応2年目以降に向けて動き出している。

2年目以降の大きな柱として上げられるのは、やはり「内部統制評価の効率化」である。内容の理解が困難であった初年度というハンデを差し引いても、相当の血と汗と涙が流されてきたことであろう。

初年度の反省を踏まえ、「IT内部統制のリバランス」と題して、「重複評価項目の見直し」「内部統制3目的(とくに業務の有効性と効率性)の再確認」「COBITベースでの共通化」および「ソフトITガバナンス」についてご紹介したい。

まずは重複作業をなくす

私の所属する日立グループにおいても、US-SOX(米国SOX法)適用年度以降、従来からあった情報システム管理規則とその準拠性に関する自己評価制度(IT自己監査)、およびSOX法対応におけるIT全般統制の評価制度など、重複した評価項目を持つ内部統制制度が複数存在していた。このため、各企業では、さまざまな表現ではあるが、同様の項目について各々判断せねばならず、実施の負担感を増していた。

そこで、評価項目の重複をなくし、IT内部統制評価の効率化を図るため、日立グループでは、J-SOX適用初年度からIT全般統制チェックリストの統合を行ってきた。

先述の日立グループの例では、ITガバナンスの国際標準フレームワークであるCOBIT※をベースに統合を行った。SOX法対応のIT全般統制チェックリストも元々、COBIT for SOX(COBITのSOX法対応向けフレームワーク)がベースであり、IT自己監査をCOBITベースに大幅変更することにした。つまり、IT内部統制をCOBITで一本化したことになる。

※ COBIT(Control Objectives for Information and related Technology)とは、情報システムコントロール協会(ISACA)およびITガバナンス協会(ITGI)が作成したITガバナンスに関する国際的な規格(フレームワーク)である。「計画と組織(PO)」「調達と導入(AI)」「サービス提供とサポート(DS)」「モニタリングと評価(ME)」の4つのドメインに34のITプロセスを定義し、IT資源や情報要請規準の観点から、各ITプロセスにおける統制目標(Control Objective)を提供する。