2007年9月30日に「金融商品取引法」が全面施行された。この法の一部である内部統制報告書作成の規定部分がいわゆる日本版SOX法と言われる部分である。昨年前半までは、「SOX法とは？」や「内部統制とは？」といった概念論で議論されることが多かったように見受けられるが、今は「どのように内部統制レポートを書くか」という実務論が注目されている。まずは内部統制のにおけるIT統制との関係図を図1に示しておこう。これを念頭に以下読み進めてもらいたい。



　金融商品取引法が定める内部統制報告書では、同書内で重要な業務プロセスとそのプロセスに内在する重要なリスクが示すことが求められている。近年、ビジネス上のリスクというものが大きく注目されるようになったが、ビジネス上のリスクを情報公開したり、その説明責任を求められることは何も今に始まったことではない。しかしながら、ただ単に経営者がリスクを認識してそれを公表するというだけでは、そのリスクを防ぐ実効性が乏しい。これは昨今の企業不祥事などで経営者がリスクを本当の意味で認識していたとは言えないケースがあることからもわかる。そこで、経営者がリスクを認識しているということを担保するために、「プロセス管理」と「リスクアセスメント」が登場する。これが内部統制の重要な課題となる。


　では実際に有効な内部統制を行うにはどうしたらいいのだろうか。IT全般統制に対する基準としては、ISO20000（ITサービス）（注1）やISO27001（情報セキュリティ）（注2）が注目されている。加えて、内部統制が要求するプロセス管理に対するツールとしてはISO9001（品質）が、内部統制上の環境影響についてはISO14001（環境）が有効である。

　内部統制とは、端的に言うと「プロセスのコントロール」のことであり、経営者は、全社的な内部統制のアセスメント（評価）を踏まえて、その対象となるプロセスを分析し、財務報告の信頼性に重要な影響をおよぼす統制上のプライオリティを定め、そのプライオリティに対して内部統制の基本的な機能が健全に運用されているかを判断しなければならない。

　合わせて、金融商品取引法では、いわゆる「IT統制」が重要なキーワードとなっている。IT統制の目的は、ITによる企業経営のサポート、ITに対する経営資源の投入を最適化することであり、ITに係るリスク管理を確実に行うことである。IT統制には、ITをコントロールするためのさまざまな仕組みを運用することが含まれる。たとえば適正に機能し続けるため、定期的に評価を実施し、フィードバックして改善に繋げるという一連の流れのことである。

　こういった仕組みを運用していくために規格化されているものが、ISMS（情報セキュリティマネジメントシステム）やITSMS（ITサービスマネジメントシステム）、JIS Q 15001:2006（個人情報保護マネジメントシステム）などである。これらの規格化された仕組みの運用と、IT全般統制におけるITをコントロールするためのさまざまな仕組みの運用とは共通する部分が少なくない。

【次ページ】PAS99の登場

---

（注1） ISO20000
ITサービスマネジメントの国際規格。ITサービスのベストプラクティスとして発効されたITILを規格化した英国規格BS15000がベース。
（注2） ISO27001
情報セキュリティマネジメントシステム（ISMS）の国際規格。英国規格BS7799をベースとしている。