内部統制「実施基準」 －その精神とCIOの役割

先にお伝えした CIO Magazine 2007年2月号 の特集記事より第2弾です。「内部統制『実施基準』 －その精神とCIOの役割」というテーマで、内部統制部会長・八田進二氏へのインタビュー記事が掲載されています。その中で、「実施基準の正式版公表の時期」と「システムが集中管理されていない場合のIT全般統制のあり方」について興味深い発言がありましたので、誌面より一部抜粋してご紹介します。

－12月20日までに寄せられたパブリック・コメントを精査し、2007年早々に、いよいよ正式版として公表されるわけですね。
　はい。実に200件近くものコメントが寄せられました。1月中か遅くとも2月の初めまでには確定させた一連の内部統制基準が公表される見込みです。

－実施基準の公開草案を見ると、購買、販売、流通の3つの業務管理システムが1つのメインフレーム・システムで集中管理されているような場合、IT全般統制は当該システムについて1度行えば済むが、異なるIT基盤の上で稼動している場合は基盤ごとに全般統制が必要になるといったことが示されています（「内部統制の基本的枠組み」20ページ）。この部分をどう解釈すればいいかについて、悩んでいるユーザー企業のIT部門は少なくありません。
　それは、金融商品取引法がそもそも連結ベースでの財務報告を念頭に置いているということとも関係していると思います。つまり、グループ横断的に同じシステムを使い、一気通貫の仕組みを構築していれば、それだけリスク要素は減り、内部統制が容易になるということを示しているに過ぎないのです。
　もちろん、企業によってシステムの使い方や考え方が違うのは当然ですから、どうするかは各社の裁量の範疇ということになります。今あるシステムを入れ替えろということでは断じてありません。

その他、米国におけるSOX対応の現状に対するコメントや実施基準案にIT統制を加えた理由、内部統制とCIOの役割等について6ページに渡って語っています。詳細は誌面をご確認ください。

関連記事
・IT全般統制を経て真の業務改革へ（2007/1/18）
・内部統制「実施基準」を斬る！（2007/1/16）