クラウドで内部統制が社外に　第三者による保証も有効

　そのなかで「ITへの対応」は、以下のように定義されており、企業の内部統制において重要なものとなっている。

・　IT環境への対応：単に統制環境のみに関連づけられるものではなく、業務プロセスの個々の段階において、内部統制の他の基本的要素と一体となって評価される。

・　ITの利用および統制：内部統制の他の基本的要素と密接不可分の関係を有しており、これらと一体となって評価される。

　また、内部統制報告制度の内部統制基準では、「外部に委託した業務の内部統制ついては評価範囲に含める」としている。つまり、業務を外部委託すると同時にその内部統制環境が外部に移管されるが、その移管された部分の責任は委託会社に残ることになる。

　ITを外部委託することは、内部統制上大きなリスクにつながる可能性があり、その対策を十分検討しないまま外部委託することは非常に危険である。例えば、委託会社と受託会社のコミュニケーションが不十分な場合、統制機能が働かない環境が作り出される可能性がある。コスト削減の圧力を受託会社に一方的にかけた場合、受託会社が目に見えにくい内部統制コストを削る可能性があり、これはそのまま委託会社のリスクを高めることにつながる。

統制活動の主体はクラウド事業者

　クラウドサービスを利用した場合、内部統制活動は利用者（委託会社）と、クラウド事業者（受託会社）の間でどう分担するのか。COBIT（Control　Objectives　for　Information　and　related　Technology）のDS（Delivery＆Support）ドメインにおけるクラウドの統制活動を例に考えていこう。

　表2に示したように、統制活動のほとんどの主体が受託会社に依存することになる。委託会社は、受託会社と十分コミュニケーションを取り、役割と責任を明確にする必要がある。その上で、受託会社がその役割と責任をどのように果たすのか、また果たしていることをどのように確認するかを決めなければならない。