クラウドで内部統制が社外に　第三者による保証も有効

クラウドを機に内部統制を再確認

　クラウドを利用した際の、ITサービスを利用する委託会社、およびITサービスを提供する受託会社がそれぞれ行うべき内部統制の例を表4に示す。

表4●クラウド時代の委託者および受託者の統制の例

　委託会社は、まず自社のITガバナンスと整合性の取れたクラウド利用ガイドラインを作成し、クラウド利用をコントロール出来るような環境を構築する必要がある。

　受託会社は、ISO／IEC　20000（ITサービスマネジメントシステム規格）、ISO／IEC　27001（情報セキュリティマネジメントシステム規格）、COBIT、SOCレポートなどを参考にマネジメントシステムを構築し、実業務の中に内部統制の仕組みを組み入れて、統制されたサービスを提供可能にする。さらに、外部保証（SOCレポート）や認証（ISO／IEC　20000、ISO／IEC27001）を取得し委託会社に内部統制の有効性を報告できるようにすべきである。

　クラウドの利用では、ITサービスに対して委託会社と受託会社の役割と責任が明確になる。ユーザー企業は、クラウド利用を契機に自社の内部統制を再確認し、「利用する」ことに関するITガバナンス能力をより向上させていく必要がある。ITサービス事業者はITサービスの実行責任や説明責任の能力を向上させ、統制されたITサービスの提供を保証することが求められる。

（初出 日経コンピュータ 2011年04月28日号）