内部統制の対応状況

 内部統制に関する様々な調査が出ている。平成20年度半ばの状況としては、文書化がほぼ終わり、運用性の評価を実施しているところが多いようである。想定以上に指摘される不備事項があり、その対応をどのようにするか、頭を悩ませている内部統制対応の担当者が多い。文書化に関することであれば年度末までの対応も可能であるが、IT統制に関することは時間と費用がかかることであり、年度末までに完全に対応することはほぼ不可能な状態である。アメリカでも数年かけてIT統制の対応をやったように、これからは優先順位をつけて実施スケジュールを決めていくことになるのであろう。
 これまでIT統制では業務統制(アクセス管理と証跡管理)が注目されてきたが、上記のような状況になると全般統制(システムを適切に稼動させるための環境整備)が一気に注力されるようになるであろう。システム環境が統制されていない中で業務統制をどれだけやっても意味がないからである。全般統制で最も大変そうなものは、ソフトウェアの資産管理、変更管理である。ソフトウェアを正しく開発・変更しているということを適切に行うことは大変である。ソフトウェア開発・維持を外部委託している場合にはなおさらである。民間企業でソフトウェアを誰が変更し、どのバージョンが作成され、どのバージョンがリリースされたのかをマネージャが承認しているところはまずないであろう。そもそもソフトウェアを資産管理しているところも極めて少ない。
 今年度の監査を受けるためには、来年度に向けたスケジュールを明確にしなければならない時期にはいってきている。