クラウドで内部統制が社外に　第三者による保証も有効

　今回は、クラウド利用における、委託会社と受託会社の役割と責任について見ていこう。

　パブリッククラウドでは、利用者は情報システムを所有せず、社外リソースをオンデマンドで利用する。利用者と提供者の関係は、委託会社と受託会社ととらえられる。この場合、委託会社の委託業務に関わる内部統制の多くの部分は、受託会社に移管される。移管された内部統制が、受託会社内でどう実施されるのか、委託会社はそれをどのように確認するのかが大きな課題となっている。

　クラウド導入に関して、セキュリティなどに漠然とした不安を抱いている経営者は多い。こうした不安を解消するには、委託会社は利用に関する内部統制を向上させ、受託会社は受託業務の内部統制に関して、実行責任や説明責任の能力を向上させなければならない。こうした流れを受けて、第三者による受託業務の内部統制に関する国際的な保証制度も整いつつある。

外部委託が内部統制のリスクに

　まず、内部統制におけるITの位置づけを、金融庁企業会計審議会の内部統制部会が公表した内部統制の枠組みを利用して押さえよう。

　この枠組みは、事実上世界標準の枠組みであるCOSO（トレッドウェイ委員会支援組織委員会）フレームワークの五つの構成要素に、近年IT環境が飛躍的に進展、浸透した現状を踏まえ「ITへの対応」を加えた、合計六つの基本的要素で構成されている（表1）。