- IT統制とISMS認証 -
IT統制は、整備・運用ともになかなか難しいものがあります。
とはいえ、やらなければならない準備。何かヒントが無いものか・・・
ここではIT全般統制とISMS認証との親和性を軸に説明いたします。
(約5分ほどでお読みいただけます。)
IT統制とは?
内部統制は、6つの基本的要素が組み込まれたプロセスを整備し、そのプロセスを適切に運用することが必要です。(詳しくは、金融庁「財務報告に係る内部統制の評価及び監査の基準」をご参照ください。)
この6つの基本的要素のひとつが「IT(情報技術)への対応」です。具体的には、業務を適正に保つ内部統制の仕組みのうち、情報システムが対象で、IT全社的統制、IT全般統制、IT業務処理統制の三段階で構成されます。(*本編では、この三段階を総じて「IT統制」と表しています。)「業務を適正に保つ内部統制の仕組み」は、業務プロセス統制(PLC)がメインなのですが、業務フローの中で情報システム内で情報処理を行う業務があります(自動計算、分析等)。これについては業務プロセス統制とは別にして、情報処理を行う情報システム自体の有効性、信頼性、適正性を評価する必要があるのです。このため「IT統制」があります。
**********
余談ですが、アメリカでは内部統制の仕組みについて、トレッドウェイ委員会組織委員会(COSO)が公表している国際的な内部統制の枠組み(COSOフレームワーク)に5つの基本的要素を示しています。日本のそれと比較してほぼ同一なのですが、ひとつだけアメリカのそれに無いものがあります。「ITへの対応」です。これはIT統制をしなくていいわけでなく、COSOフレームワークが公表された1992年当時はパソコンを使用する業務があまり無かったため、かと想像します。(参考に、Win.3.1発売は1990年、Win.NT発売は1993年)
ただしアメリカ証券取引委員会(SEC)が2007年6月27日に発表したSOXに関するガイダンス(Commission Guidance Regarding Management’s Report on Internal Control Over Financial Reporting Under Section 13(a) or 15(d) of the Securities Exchange Act of 1934)では、経営者のIT統制への責任を明確に示しました(ガイダンスのp16参照)。これにより、アメリカでもIT統制は内部統制の基本的要素に含まれると理解できます。
なお、アメリカの内部統制(SOX又はUS-SOX)については後日改めて説明しますが、日本の内部統制(J-SOX)の内容と比較して、かなり重い内容となっています。
**********
ISMS認証との親和性
「情報システム」といえば、ISMS(ISO27001)認証のことを思いつく方が多いと思います。ISMS(情報セキュリティマネジメントシステム)は、情報セキュリティを管理する仕組みのことで、第三者機関による審査で、情報セキュリティの要件を満たし維持できていると判断されると、企業はISMS認証を取得できます。最近ではこのISMS認証を得ていることが取引の条件とされることが多いこともあり、「必要に迫られてISMS認証を取得した」という企業もいらっしゃるのではないでしょうか。
ISMSでは、情報セキュリティに関する要件を満たし維持できていることが求められますが、その3要件とは「機密性」「完全性」「可用性」となります。それぞれの定義は、次のとおりです。
ここでIT統制に目を向けますと、金融庁「財務報告に係る内部統制の評価及び監査の基準」にIT統制に関する記述があります。ここに、経営者が設定するIT統制目標を次のように挙げています。
有効性及び効率性:情報が業務に対して効果的、効率的に提供されていること
準拠性:情報が関連する法令や会計基準、社内規則等に合致して処理されているこ
信頼性:情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること(正当性、完全性、正確性)
可用性:情報が必要とされるときに利用可能であること
機密性:情報が正当な権限を有する者以外に利用されないように保護されていること
こうしてみると、ISMSとIT統制のそれぞれの目的が合致(上記の太文字部分)しています。また、ここでは詳しく説明しませんが、チェックする項目、その内容等もかなり近いものがあるのです。
このように、IT統制とISMS認証には目的の面で多くの接点があり、親和性が高いものであるといえます。次に、実務面から「親和性が高い」ことをみていきます。
メリットと+α(プラスアルファ)
本編で申しあげたいことは、ISMS認証取得されている企業はIPOを検討・準備するにあたり、比較的検討・準備しやすくなります、ということです。(*この逆である、上場企業がISMS認証を取得できるか?というと、難しいと考えます。)理由は3つです。
ISMS認証企業は、毎年中間審査、3年ごとに認証更新の再認証審査を実施し、第三者機関による厳しいチェックを受けていること。
ISMS認証に関する教育が義務付けられており、全社的に理解が深いこと。
社員からの協力が得られやすいこと。
IPO準備にあたっては、特定メンバーだけが必死になって準備するものでありません。やはり全社的な理解と協力が必要です。IPOもISMSも、企業にとっては「企業価値を高める」ものですが、ISMSについてはなんとなく義務感(やらされている感)が強いイメージですが、「この義務的な作業やルール(と感じているもの)が、IPOでさらなる価値を生むのです!」と社員の皆さんに説明したら、どうでしょう?考え方次第で、企業価値向上と業務へのモチベーションの両方で、かなり上がるのではないでしょうか。(これは大きなメリットです!)。
また、実務面でIT統制の評価実施する際には、ISMS認証取得企業は大きな+αを実感していただけます。
ISMSの中間審査、再認証審査では膨大な量の証憑(記録文書)の提出が求められますが、この証憑は、IT全社/IT全般統制の80〜90%の項目で利用できるものがあります。これによってIT統制での証憑を改めて提出してもらう必要がなくなります。ひとつの作業工数で2つの効果が期待できるのです。なおIT統制のうち業務処理統制は、それぞれ情報システムの開発元(アプリケーションのベンダー)から提出してもらうSOC1 又はSOC2 報告書を証憑として評価しますので、評価の作業が重くのしかかることは無いと思います。
このように、かなりの作業時間と労力が圧縮可能になるのです。
あえてデメリットを挙げますと、大きなもので「ISMS認証の維持にかかる費用」がありますが、これはISMS認証を得ていることで顧客獲得増加につながること、取引先の間口(まぐち)が広がることなどで、業績向上のスパイスになるメリットとの費用対効果(投資対効果)をみていただけたら、あえて取り上げるようなデメリットではないことがご理解いただけるかと思います。