クラウドで内部統制が社外に 第三者による保証も有効

クラウド時代の「運用の常識」(第10回)

クラウド利用の課題の一つは、サービスの利用者(委託会社)と提供者(受託会社)の間で、いかに内部統制をうまく進めるかだ。委託会社は利用に関する内部統制を向上させる必要がある。一方、受託会社は受託業務の内部統制に関して、実行責任や説明責任の能力を向上させなければならない。

 今回は、クラウド利用における、委託会社と受託会社の役割と責任について見ていこう。

 パブリッククラウドでは、利用者は情報システムを所有せず、社外リソースをオンデマンドで利用する。利用者と提供者の関係は、委託会社と受託会社ととらえられる。この場合、委託会社の委託業務に関わる内部統制の多くの部分は、受託会社に移管される。移管された内部統制が、受託会社内でどう実施されるのか、委託会社はそれをどのように確認するのかが大きな課題となっている。

 クラウド導入に関して、セキュリティなどに漠然とした不安を抱いている経営者は多い。こうした不安を解消するには、委託会社は利用に関する内部統制を向上させ、受託会社は受託業務の内部統制に関して、実行責任や説明責任の能力を向上させなければならない。こうした流れを受けて、第三者による受託業務の内部統制に関する国際的な保証制度も整いつつある。

外部委託が内部統制のリスクに

 まず、内部統制におけるITの位置づけを、金融庁企業会計審議会の内部統制部会が公表した内部統制の枠組みを利用して押さえよう。

 この枠組みは、事実上世界標準の枠組みであるCOSO(トレッドウェイ委員会支援組織委員会)フレームワークの五つの構成要素に、近年IT環境が飛躍的に進展、浸透した現状を踏まえ「ITへの対応」を加えた、合計六つの基本的要素で構成されている(表1)

表1●日本版COSOの基本的枠組み

野村総合研究所 システムマネジメント事業本部
ITサービスマネジメント推進部

徳地 隆弘
SOX法対応のIT全般統制、ISO/IEC 20000対応のITサービスマネジメントシステムの
設計、構築、運営に携わる。企業のIT運営の企画、設計が専門。
ITIL V3エキスパート、CISA(公認情報システム監査人)、
CIA(公認内部監査人)、システムアナリスト資格を保有。itSMF Japan理事。
(著者プロフィールは執筆時のものです)

お問い合わせ

株式会社 野村総合研究所
クラウドサービス本部
TEL:03-6706-0331
E-mail:sysm-info@nri.co.jp

ページのトップへ