クラウドで内部統制が社外に 第三者による保証も有効

クラウド時代の「運用の常識」(第10回)

クラウド利用の課題の一つは、サービスの利用者(委託会社)と提供者(受託会社)の間で、いかに内部統制をうまく進めるかだ。委託会社は利用に関する内部統制を向上させる必要がある。一方、受託会社は受託業務の内部統制に関して、実行責任や説明責任の能力を向上させなければならない。

 そのなかで「ITへの対応」は、以下のように定義されており、企業の内部統制において重要なものとなっている。

・ IT環境への対応:単に統制環境のみに関連づけられるものではなく、業務プロセスの個々の段階において、内部統制の他の基本的要素と一体となって評価される。

・ ITの利用および統制:内部統制の他の基本的要素と密接不可分の関係を有しており、これらと一体となって評価される。

 また、内部統制報告制度の内部統制基準では、「外部に委託した業務の内部統制ついては評価範囲に含める」としている。つまり、業務を外部委託すると同時にその内部統制環境が外部に移管されるが、その移管された部分の責任は委託会社に残ることになる。

 ITを外部委託することは、内部統制上大きなリスクにつながる可能性があり、その対策を十分検討しないまま外部委託することは非常に危険である。例えば、委託会社と受託会社のコミュニケーションが不十分な場合、統制機能が働かない環境が作り出される可能性がある。コスト削減の圧力を受託会社に一方的にかけた場合、受託会社が目に見えにくい内部統制コストを削る可能性があり、これはそのまま委託会社のリスクを高めることにつながる。

統制活動の主体はクラウド事業者

 クラウドサービスを利用した場合、内部統制活動は利用者(委託会社)と、クラウド事業者(受託会社)の間でどう分担するのか。COBIT(Control Objectives for Information and related Technology)のDS(Delivery&Support)ドメインにおけるクラウドの統制活動を例に考えていこう。

 表2に示したように、統制活動のほとんどの主体が受託会社に依存することになる。委託会社は、受託会社と十分コミュニケーションを取り、役割と責任を明確にする必要がある。その上で、受託会社がその役割と責任をどのように果たすのか、また果たしていることをどのように確認するかを決めなければならない。

表2●COBIT DS(デリバリー&サポート)ドメインのプロセスとクラウドにおける統制活動主体

野村総合研究所 システムマネジメント事業本部
ITサービスマネジメント推進部

徳地 隆弘
SOX法対応のIT全般統制、ISO/IEC 20000対応のITサービスマネジメントシステムの
設計、構築、運営に携わる。企業のIT運営の企画、設計が専門。
ITIL V3エキスパート、CISA(公認情報システム監査人)、
CIA(公認内部監査人)、システムアナリスト資格を保有。itSMF Japan理事。
(著者プロフィールは執筆時のものです)

お問い合わせ

株式会社 野村総合研究所
クラウドサービス本部
TEL:03-6706-0331
E-mail:sysm-info@nri.co.jp

ページのトップへ