PR

IT統制の整備において、リスク評価を実施している上場企業のIT部門は27.2%にとどまる――。日本情報処理開発協会(JIPDEC)が実施した「IT統制と内部統制に関する調査」からは、日本企業のIT統制の整備が不十分な実態が浮かび上がってきた。

 JIPDECが調査したのは、上場企業491社のIT部門におけるIT統制の成熟度。レベル0「未対応」からレベル5「継続的改善」までの6段階で評価した。内部統制の事実上のフレームワークである「COSO」に基づき、(1)統制環境、(2)モニタリング、(3)統制活動、(4)情報と伝達、(5)リスク評価の5つの指標を掲げている。

 各指標に対する上場企業の平均的な成熟度はレベル1「整備予定」と同2「一部整備」の間である(図)。日本版SOX法は、内部統制の整備だけでなく運用状況の評価を求めており、JIPDECの成熟度でいえば、レベル4の「運用」が相当する。米SOX法(2002年サーベインズ・オクスリー法)に対応した日本企業の成熟度が、いずれの項目でもレベル3の「整備完了」以上だったことと比べれば、上場企業のIT統制の整備は、まだまだ進んでいないといえる。

図●上場企業のIT統制の成熟度はレベル2未満
図●上場企業のIT統制の成熟度はレベル2未満
各項目について6段階で評価。日本版SOX法対応ではレベル4程度が求められている

※『ITと内部統制に関する研究調査報告書―内部統制確立に向けた企業の取り組みと成熟度評価へのアプローチ―(平成18年度)』(日本情報処理開発協会)のデータを基に作成

 なかでも成熟度が低かったのが、リスク評価だ。平均はレベル1.25。レベル1の「システムの不具合対応に加え、その不具合によって業務に及ぼした影響についての記録を作成している」をやや超えた段階でしかない。調査委員を務める三菱総合研究所の佐野紳也社会情報通信研究本部副本部長は、同分野の成熟度が低い理由を「IT部門に限らず、日本企業にはリスクを明確にするという習慣がないため」と分析する。

 IT統制をはじめ、内部統制の整備においては、経営に対するリスクの大きさを判断し、そのリスクが大き
なものから統制を整備することが欠かせない。調査委員会委員長である日本大学商学部の堀江正之教授は、「リスク評価が不十分だと、内部統制の整備工数が不必要に膨らむ恐れがある」と危惧する。

 特に日本版SOX法が求める財務報告にかかる内部統制の整備におけるリスク評価では、「IT部門はセキュリティなどに目が行きがち。だが、本当に必要なことは、ビジネスの視点からのリスク評価であることを忘れてはならない」と堀江教授は指摘する。

 JIPDECは今回、IT統制の成熟度のほかに、「企業における内部統制の確立に向けた取り組み」についても調査した。それによれば、IT部門の73%が社内プロジェクトに参加しており、すでに情報システムの改修を実施した企業も16%あった。

 IT部門が内部統制の整備で抱える課題としては、「人員・費用がない」(73%)や「継続的に業務プロセスの見直しなどを行う負荷が高い」(70%)などが上位を占めた。JIPDEC調査課の上河辺康子主任はこの結果を、「日常業務に加えて、新たな業務が増えることが重荷になっている。人員の問題では、人数だけでなく、担当者の質的な問題もあるのではないか」と分析する。

 今回の調査は、昨年12月からこの1月にかけて実施。「IT統制と内部統制に関する調査研究報告書」として公開している。JIPDECは今年も同様の調査を継続し、IT統制の成熟度などの推移を追う予定だ。

■お知らせ 回答企業が使用しているツールやフレームワークなど、本調査の結果の詳細については、内部統制.jpで近く連載する予定です。