2009/01/28
お知らせ
※ この記事は、2008年10月26日発売 『日経情報ストラテジー(2008年11月号)』 ITpro EXPO 2008 Autumn セミナープレビューに掲載された記事を抜粋したものです。
- 株式会社インフォセック
- ITリスクコンサルティンググループ
- グループディレクター
- エグゼクティブコンサルタント
- 伊藤 潤
■内部統制の導入に伴う現場の困惑
J-SOXの施行により、多くの企業は内部統制の導入を進めている。しかし、業務の現場では手続きなどの負荷が大きいため、そこまで行う必要があるのかと反発されることも少なくない。また、監査人による細かな指摘に対し、本当にリスクと関係するのかと疑問に思うことがあるもの本音だろう。
このように内部統制への対応と業務現場との間でギャップが生じる理由について、インフォセックの伊藤 潤氏は、「これまで多くの企業で実施されてきたIT施策が"コントロールアプローチ"に基づいていることに原因があり、"リスクアプローチ"に転換する必要があります」と指摘する。
「コントロールアプローチは何をすべきか、どうすべきかという目標を設定して施策を行います。この場合、リスク対策として整備する内部統制の導入自体が目的となりがちです。いくら内部統制を導入しても、その意義が社員に徹底されていなければ浸透せず、反発を招くだけでしょう。本来は、目的達成のための手段である対策が目的化するという本末転倒を招かないためには、"なぜ""何のために"という施策を導入する意義や狙いを強く意識して対応する手法、すなわちリスクアプローチが最適なのです」。
J-SOXの施行により、多くの企業は内部統制の導入を進めている。しかし、業務の現場では手続きなどの負荷が大きいため、そこまで行う必要があるのかと反発されることも少なくない。また、監査人による細かな指摘に対し、本当にリスクと関係するのかと疑問に思うことがあるもの本音だろう。
このように内部統制への対応と業務現場との間でギャップが生じる理由について、インフォセックの伊藤 潤氏は、「これまで多くの企業で実施されてきたIT施策が"コントロールアプローチ"に基づいていることに原因があり、"リスクアプローチ"に転換する必要があります」と指摘する。
「コントロールアプローチは何をすべきか、どうすべきかという目標を設定して施策を行います。この場合、リスク対策として整備する内部統制の導入自体が目的となりがちです。いくら内部統制を導入しても、その意義が社員に徹底されていなければ浸透せず、反発を招くだけでしょう。本来は、目的達成のための手段である対策が目的化するという本末転倒を招かないためには、"なぜ""何のために"という施策を導入する意義や狙いを強く意識して対応する手法、すなわちリスクアプローチが最適なのです」。
■リスクアプローチによる内部統制の取り組みをセミナーで紹介
加えて深刻なのが、情報システム部門が抱える固有の問題と伊藤氏は指摘する。コスト削減や開発期間の短縮が進む中でのシステム開発では、十分なテストをせずにリリースに至るケースも少なくない。また、優秀なSEは上流工程にしか関わらず、開発が進むとSEの質が下がるという現実もある。さらに、情報システム部門のアウトソーシングに伴い、社内は開発経験のない担当者が増え、ベンダーの言いなりというケースも目立つ。これらの要因が、システム障害の発生が後を絶たない大きな理由だという。
「本来、内部統制を導入する際には、企業を取り巻くさまざまなリスクを識別し、その重要度を把握する必要がありますが、現在のシステム部門の空洞化で困難になっています。そこで、リスクマネジメントのプロフェッショナルである我々が、お客様のITリスクの識別、重要度付けを支援し、ITがビジネスを成功に導く最適なツールとなるよう、幅広くお手伝いします。10/15に開催されるITpro EXPO 2008 Autumnでは『ITリスク低減度を考慮した内部統制実務 ~ケーススタディで見る~ 』と題したセミナーで、リスクアプローチによる内部統制の取り組みを、具体的な事例を交えてご紹介します」と伊藤氏は語った。
※この記事またはセミナー資料に関するお問い合わせはこちら
加えて深刻なのが、情報システム部門が抱える固有の問題と伊藤氏は指摘する。コスト削減や開発期間の短縮が進む中でのシステム開発では、十分なテストをせずにリリースに至るケースも少なくない。また、優秀なSEは上流工程にしか関わらず、開発が進むとSEの質が下がるという現実もある。さらに、情報システム部門のアウトソーシングに伴い、社内は開発経験のない担当者が増え、ベンダーの言いなりというケースも目立つ。これらの要因が、システム障害の発生が後を絶たない大きな理由だという。
「本来、内部統制を導入する際には、企業を取り巻くさまざまなリスクを識別し、その重要度を把握する必要がありますが、現在のシステム部門の空洞化で困難になっています。そこで、リスクマネジメントのプロフェッショナルである我々が、お客様のITリスクの識別、重要度付けを支援し、ITがビジネスを成功に導く最適なツールとなるよう、幅広くお手伝いします。10/15に開催されるITpro EXPO 2008 Autumnでは『ITリスク低減度を考慮した内部統制実務 ~ケーススタディで見る~ 』と題したセミナーで、リスクアプローチによる内部統制の取り組みを、具体的な事例を交えてご紹介します」と伊藤氏は語った。
※この記事またはセミナー資料に関するお問い合わせはこちら
※上記ページは掲載時点の内容であるため、ページ中にリンク切れやリンク先が適切でないリンクなどがある可能性があります。ご了承いただくようお願い申し上げます。
