« 監査未経験者の設問ア論述について | メイン | システム監査技術者試験・小論文の完成度について »

2008年2月14日

ITガバナンスと内部統制との違い

ITガバナンスと内部統制について

読者の方からご質問いただきました

IT統制について学習中なのですが、いまいちピンときません。IT統制とはどのようなものなのかお教え下さい。
 IT全社統制>IT全般統制>IT業務処理統制と包括していく感じに理解しています。
内部統制との関係もいまいちです。

ご回答

 ここではIT統制を一般的呼称であるITガバナンスと読み替えるとします。
 結論としてITガバナンス内部統制(internal control)とは別物です。  別の次元と思って考えるといいでしょう。

ITガバナンスの定義

 オーソライズされている定義は次のとおりです。

  • 企業が競争優位性構築を目的に、IT戦略の策定・実行をコントロールし、あるべき方向へ導く組織能力(経済産業省)
  • 主にIT化により新たに生じるリスクの極小化と的確な投資判断に基づく経営効率の最大化、すなわち、リスク・マネジメントとパフォーマンス・マネジメントであり、これらを実施するに当たっての、健全性確保のためのコンプライアンス・マネジメントの確立である (日本監査役協会)

 ガバナンスとは統治という意味で、最初は企業統治(コーポレートガバナンス)からきていると思われます。 それをIT分野に導入したものだと推測されます。

ITガバナンスの概要

 以上のことを受けて、ITガバナンスを考えると、次のような概要になるでしょう。

  • 経営戦略とIT戦略との整合性の確保を目的とする
  • ITの投資効果を評価し、統制する
  • 組織の在り方や人員・体制、リスクに関連する事項も含めて評価のフレームワークを確立する
  • そのためのマネジメントコントロール
 ITガバナンスを狭く考えると、恐らく、IT投資を経営戦略と整合性を保ちつつ、有効なものにするための 計画、組織体制といえそうです。

内部統制の定義
 内部統制を知るために内部統制の目的を知る必要があると思われます。その目的は
  • 業務の有効性・効率性を確保すること
  • 財務報告の信頼性を確保すること
  • コンプライアンスの遵守
  • 資産の保全を確保すること

 こう書くと本質がぼやけてしまいそうなんですが、基本的には「不正を防止し、リスクを低減する」というところに 中核がありそうです。
 なぜなら、SOX法などが叫ばれる前から内部統制という言葉はあり、内部けん制 とも呼ばれていました。つまり1人でやると不正が発生したり、発見しにくい業務を従業員の相互監視のもと 行うというところに語源があるからです。

まとめ

わかりやすくいうとITガバナンスは「ITと経営との関係」、内部統制は「ITと法令、規律との関係」 と私は理解しております。

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 2008年2月14日 13:07