第2回目は、IT統制について見てみよう。
1. はじめに-グループITガバナンスの確立のために
J-SOX対応において、IT統制は情報システム部門の主導の下に文書化・整備を行っているであろう。しかし、海外子会社については、本社情報システム部門の管理対象外となっている事例も多く見受けられる。このような場合は、子会社ごとにIT統制にばらつきが発生し、グループとして統一された統制活動となっていないことが、往々にして起こっている。
今後ますますグローバル展開が重要になることを考えれば、情報戦略もグループ全体を見据えていくべきである。グループ全体でのITガバナンスを確立するためには、今回のJ-SOX対応で整備された、海外子会社のIT統制を有効に活用すべきと考える。そこで本稿では、グループITガバナンス確立の視点で、海外子会社のIT統制について考察した。
2. 海外子会社ではIT全社的統制が最も重要
IT統制には大きく分けて、
(1)経営レベルの統制である「IT全社的統制」
(2)システム基盤単位の「IT全般統制」
(3)業務単位の統制機能である「IT業務処理統制」
の3種類がある(図参照)。ケース・バイ・ケースではあるが、筆者は海外子会社においては、この中で「IT全社的統制」が最も重要であると考える。
では、「IT全般統制」や「IT業務処理統制」が重要ではないかというと、決してそうではない。「IT全般統制」はそもそも、「IT業務処理統制」が有効に機能することを保証するための統制活動である。「IT業務処理統制」は、業務プロセスにおいてリスクを低減するための統制に、ITを活用するというものである。したがって、業務活動におけるITの活用度合いによって、「IT業務処理統制」の重要度が変わり、「IT業務処理統制」の重要度によって、「IT全般統制」の重要度が変わることになる。また、重要な拠点として選択されていない子会社等は、「IT全般統制」や「IT業務処理統制」の評価の対象外となる。
これに対し、「IT全社的統制」とは、IT戦略、情報化計画、情報化方針、システムのリスク評価、IT統制手続等、経営レベルでのIT統制をいう。「IT全社的統制」は全社的な内部統制の一部と考えられるので、僅少な拠点を除くすべての子会社で文書化・評価の対象となる。本社から見たとき、情報システム部門が海外子会社を所管していない場合は、海外子会社の情報システムの統制状況は非常にわかりにくいと思われる。しかし、「IT全社的統制」が確立されていれば、戦略に基づくIT化が実施され、リスク評価が行われ、適切な手続でシステムの構築、運用が行われると考えられるので、当該会社のIT統制上のリスクは格段に減るのである。
図 IT統制の概要
(出典:「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」、
経済産業省、2007年3月30日)
2. IT全社的統制によって、(グループ)ITガバナンスを確立する
J-SOXで求められる「IT全社的統制」は、具体的にはどのようなものであろうか。企業によって取り組みの程度は異なると思うが、金融庁の内部統制実施基準に例示された全社的内部統制のうち、「ITへの対応」部分は以下の5項目である。
|
したがって海外子会社における「IT全社的統制」の文書化は、当該海外子会社が適切な戦略に基づくIT活用を実現する方法を記述したものとなる。これはすなわち、子会社のITガバナンスそのものといえよう。
ITガバナンスの定義にはさまざまなものがあるが、旧通商産業省が1999年に示した定義によると、「企業が競争優位性構築を目的に、IT戦略の策定・実行をコントロールし、あるべき方向へ導く組織能力」である。グループ全体としてのITガバナンスを確立するためには、本社がグループ各社の「IT全社的統制」をコントロールし、グループとしてあるべき姿に導くことが必要である。
海外子会社が作成したIT統制関連の各文書を整理・活用し、グループ全体の観点で各社の「IT全社的統制」を再評価することが、グループITガバナンス確立の第一歩になる。
以上
参考文献:
「完全図解 財務報告のためのIT統制 その進め方と評価」、監修 石島隆/編著 藤田立雄・石綿勇、同友館、2008年2月29日)
「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」、経済産業省、2007年3月30日
「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」、金融庁企業会計審議会、2007年2月15日