次に、何をすれば"ITへの対応"をクリアできるのか?というお話です。そのポイント(探し)は、経済産業省の
システム管理基準
追補版(財務報告に係るIT 統制ガイダンス) に"ITへの対応"についていろいろと提示されており、(A)ITに係る業務処理統制と(B)ITに係る全般統制の大きく2つに分けられます。(A)はIT化された業務、たとえば給与システムや販売管理システムなどのチェックで、(B)は、いわゆるネットワーク、ハードウェア、ソフトウェアなど、IT基盤(インフラ)のイメージで良いと思います。企業の情報システム部門がおよそ管理している範疇です(正しくは、システムの設計、開発や外部委託なども含まれます)。 |
これらをまとめると、(1)会社の考え方がベースにあり、(2)と(A)は今では切り離せない環境が多いと思いますが、業務プロセスの中での誤りや不正を防ぐ仕組みの土台として、(B)企業のしっかりとしたIT基盤(インフラ)があるべきだと考えられます。つまり、IT内部統制対応のポイントは、しっかりとしたIT基盤が土台である、ということで、まずはインフラ整備と言えるでしょう。IT基盤の信頼性が高いと、その上で動いている業務プロセスにおける誤りや不正を防ぐ仕組みも信頼できます、というようなことが実施基準にも示してあります。
※ここまでの話は今号最下部、ダウンロード用営業資料の「参考資料」としてスライド化しています。 |
 |
ITインフラ整備を進める手順としては、まず自社のIT資産を把握しなければなりません。何がある、どこにある、誰がどのように使っている・・そのようなことです。把握できなければ、リスクがわかりません。全てを把握し、リスクなどもある程度考えられるようにした後、IT基盤整備のポイントに従って整備を進めることになるでしょう。IT資産を把握するために、IT資産とはどこからどこまでか?ということがわかりづらければ、本サイト内の甲田氏の特別寄稿
「IT資産管理の重要性」
をご覧いただくと、大変わかりやすいと思います。 |
| 実際にIT基盤整備を進める際は、あれもこれもではなく、ポイントを絞って考えなければなりません。内部統制対応のポイントは、リスクが低いことと信頼性が高いことです。リスクが低いというのは、場所的に集中管理されている、技術的に標準化・単純化されている、などです。信頼性が高いというのは、セキュリティ対策、アクセス管理が徹底されていることと、プログラムのテストやデータ移行が容易な環境ということで、仮想化が有効ではないでしょうか。 |
| 中堅・中小企業のお客様で、内部統制対応にピンと来ていない方には、このような話をざっくりしていただければ、IT内部統制対応でのIT基盤整備の重要性をご理解いただけるのではないかと思います。また、仮想化については、Microsoft社のサイト(Microsoft
Virtualization) で、仮想化のメリット、全体像なども示されており、大変わかりやすいと思います。 |
| 内部統制が、「誤りや不正を防止する仕組み」と考えると、その規則のレベルが会社によってまちまちなのは当然です。規則に厳しい会社もあれば、甘い会社もあるということです。しかし、企業活動は市場ありきですから、誤りや不正が起きると周囲に及びます。したがって、規則が甘いとなると、社会からの信頼も得られにくくなります。 |
