top of page
執筆者の写真長嶋 邦英

IT統制とISMS認証

更新日:2023年2月24日

IT統制は、整備・運用ともになかなか難しいものがあります。とはいえ、やらなければならない準備。何かヒントが無いものか・・・

ここではIT全般統制とISMS認証との親和性を軸に説明いたします。 (約5分ほどでお読みいただけます。)


IT統制とは?

 内部統制は、6つの基本的要素が組み込まれたプロセスを整備し、そのプロセスを適切に運用することが必要です。(詳しくは、金融庁「財務報告に係る内部統制の評価及び監査の基準」をご参照ください。)

 この6つの基本的要素のひとつが「IT(情報技術)への対応」です。具体的には、業務を適正に保つ内部統制の仕組みのうち、情報システムが対象で、IT全社的統制、IT全般統制、IT業務処理統制の三段階で構成されます。本編では、この三段階を総じて「IT統制」と表しています。「業務を適正に保つ内部統制の仕組み」は、業務プロセス統制(PLC)がメインなのですが、業務フローの中で情報システム内で情報処理を行う業務があります(自動計算、分析等)。これについては業務プロセス統制とは別にして、情報処理を行う情報システム自体の有効性、信頼性、適正性を評価する必要があるのです。このため「IT統制」があります。


**********

 余談ですが、アメリカでは内部統制の仕組みについて、トレッドウェイ委員会組織委員会(COSO)が公表している国際的な内部統制の枠組み(COSOフレームワーク)に5つの基本的要素を示しています。日本のそれと比較してほぼ同一なのですが、ひとつだけアメリカのそれに無いものがあります。「ITへの対応」です。これはIT統制をしなくていいわけでなく、COSOフレームワークが公表された1992年当時はパソコンを使用する業務があまり無かったため、かと想像します。(参考に、Win.3.1発売は1990年、Win.NT発売は1993年)

ただしアメリカ証券取引委員会(SEC)が2007年6月27日に発表したSOXに関するガイダンス(Commission Guidance Regarding Management’s Report on Internal Control Over Financial Reporting Under Section 13(a) or 15(d) of the Securities Exchange Act of 1934)では、経営者のIT統制への責任を明確に示しました(ガイダンスのp16参照)。これにより、アメリカでもIT統制は内部統制の基本的要素に含まれると理解できます。

 なお、アメリカの内部統制については後日改めて説明しますが、日本の内部統制の内容と比較して、かなり重い内容となっています。

**********



ISMS認証との親和性

 「情報システム」といえば、ISMS(ISO27001)認証のことを思いつく方が多いと思います。ISMS(情報セキュリティマネジメントシステム)は、情報セキュリティを管理する仕組みのことで、第三者機関による審査で、情報セキュリティの要件を満たし維持できていると判断されると、企業はISMS認証を取得できます。最近ではこのISMS認証を得ていることが取引の条件とされることが多いこともあり、「必要に迫られてISMS認証を取得した」という企業もいらっしゃるのではないでしょうか。

 ISMSでは、情報セキュリティに関する要件を満たし維持できていることが求められますが、その3要件とは「機密性」「完全性」「可用性」となります。それぞれの定義は、

  • 機密性:認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また開示させない特性

  • 完全性:正確さ及び完全さの特性

  • 可用性:認可されたエンティティが要求したときに、アクセス及び使用が可能である特性 (*JIS Q 27000:2014参照)

 ここでIT統制に目を向けますと、金融庁「財務報告に係る内部統制の評価及び監査の基準」にIT統制に関する記述があります。ここに、経営者が設定するIT統制目標を次のように挙げています。

  • 有効性及び効率性:情報が業務に対して効果的、効率的に提供されていること

  • 準拠性:情報が関連する法令や会計基準、社内規則等に合致して処理されているこ

  • 信頼性:情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること(正当性、完全性、正確性)

  • 可用性:情報が必要とされるときに利用可能であること

  • 機密性:情報が正当な権限を有する者以外に利用されないように保護されていること

こうしてみると、ISMSとIT統制のそれぞれの目的が合致(上記の太文字部分)しています。また、ここでは詳しく説明しませんが、チェックする項目、その内容等もかなり近いものがあるのです。


 このように、IT統制とISMS認証には目的の面で多くの接点があり、親和性が高いものであるといえます。次に、実務面から「親和性が高い」ことをみていきます。



メリットと+α(プラスアルファ)

 本編で申しあげたいことは、ISMS認証取得されている企業はIPOを検討・準備するにあたり、比較的検討・準備しやすくなります、ということです。(*この逆である、上場企業がISMS認証を取得できるか?というと、難しいと考えます。)理由は3つです。

  • ISMS認証企業は、毎年中間審査、3年ごとに認証更新の再認証審査を実施し、第三者機関による厳しいチェックを受けていること。

  • ISMS認証に関する教育が義務付けられており、全社的に理解が深いこと。

  • 社員からの協力が得られやすいこと。

 IPO準備にあたっては、特定メンバーだけが必死になって準備するものでありません。やはり全社的な理解と協力が必要です。IPOもISMSも、企業にとっては「企業価値を高める」ものですが、ISMSについてはなんとなく義務感(やらされている感)が強いイメージですが、「この義務的な作業やルール(と感じているもの)が、IPOでさらなる価値を生むのです!」と社員の皆さんに説明したら、どうでしょう?

考え方次第で、企業価値向上と業務へのモチベーションの両方で、かなり上がるのではないでしょうか。(これは大きなメリットです!)


 また、実務面でIT統制の評価実施する際には、ISMS認証取得企業は大きな+αを実感していただけます。

 ISMSの中間審査、再認証審査では膨大な量の証憑(記録文書)の提出が求められますが、この証憑は、IT全社/IT全般統制の80〜90%の項目で利用できるものがあります。これによってIT統制での証憑を改めて提出してもらう必要がなくなります。ひとつの作業工数で2つの効果が期待できるのです。なおIT統制のうち業務処理統制は、それぞれ情報システムの開発元(アプリケーションのベンダー)から提出してもらうSOC1 又はSOC2 報告書を証憑として評価しますので、評価の作業が重くのしかかることは無いと思います。

 このように、かなりの作業時間と労力が圧縮可能になるのです。


 あえてデメリットを挙げますと、大きなもので「ISMS認証の維持にかかる費用」がありますが、これはISMS認証を得ていることで顧客獲得増加につながること、取引先の間口(まぐち)が広がることなどで、業績向上のスパイスになるメリットとの費用対効果をみていただけたら、あえて取り上げるようなデメリットではないことがご理解いただけるかと思います。



当社が提供するサービスとして

当社が提供する「内部統制・内部監査体制構築」と「各種認証取得支援」サービスでは、

 <内部統制・内部監査体制構築>

  1. IPO準備中企業の内部統制体制の構築とその業務内容の確立をサポート支援いたします。

  2. 上場企業の内部統制体制の再構築、業務内容の改善をサポート支援いたします。

  3. IPO準備中・上場企業の内部統制にかかる業務の業務委託受託先(外部)として業務遂行いたします。(*内部統制責任者として、社内に1名選任をお願いします。)

 <各種認証取得支援>

  1. 認証取得準備中企業の認証取得のための内部体制構築とその業務内容の確立をサポート支援いたします。

  2. 認証取得後の業務推進をサポート支援いたします。

また、ISMS認証の管理ツールとして、当社では Secure Navi をご紹介します。ISMS認証取得時、認証維持のときの強力なサポートツールとして、ご検討ください。


 この機会に、ぜひ内部統制のあり方、認証取得の必要性をご理解いただき、内部統制の体制構築/再構築と各種認証取得をご検討ください。



最新記事

すべて表示

Komentar


Mengomentari telah dimatikan.
bottom of page