今年２月に金融庁が発表した内部統制の実施基準では「IT への対応」が盛り込まれています。これは決して難しいことではありません。企業内の様々な活動は紙ベースや手作業で行うより、適切なIT 活用により、自動化された形で統制を行うべきだということを言っているに過ぎません。会社がきちんとした企業活動を行っていくためには統制が必要で、そのためにIT を積極的に利用するということはごく普通の考え方です。

　しかし、この「IT への対応」を行う際には注意が必要です。実はIT を使って内部統制を行うとIT 自体も統制の対象になります。統制の仕組みとしてIT を利用するのでIT 自体も統制の対象になるのです。この部分が少し複雑なので、理解し難いと感じる方もいるかと思います。

　また、IT 対応自体が目的になってしまう危険性もあります。本来の目的は企業の内部統制体制を確立することであって、IT の導入やIT の統制が目的ではありません。特にIT 部門に多く見受けられるのは、日本版SOX 法で要請されている「IT への対応」に目を奪われ、IT 統制自体に主眼が置かれてしまうことです。あくまでも業務があり、業務を支えるものとしてIT があり、その際にIT が利用されるので、IT 自体の統制が必要になる、という三段論法で考え・・・(続きを読む）