内部統制とITガバナンス

金融庁企業会計審議会の内部統制部会から公表された「財務報告に係る内部統制の評価及び監査の基準案」（平成17年12月8日）では、内部統制の有効性の判断規準となる基本的要素の1つとして“ITへの対応”が挙げられている。これは、組織目標を達成するために適切な方針や手続等を定めて、ITにおける統制を各業務の中に体系的に組込み、内部統制を有効に機能させることである。言い換えれば、“ITガバナンスを確立すること”と言える。ITは組織の重要な基盤（インフラ）であることから、ITガバナンスが確立されているかどうかは内部統制の有効性を大きく左右する重要なファクターとなる。

ITガバナンスを確立するための主なフレームワークには、以下のようなものが挙げられる。
（1）COBIT（Control Objectives for Information and related Technology）
IT全般を4ドメイン（計画と組織化、調達と導入、デリバリとサポート、モニタリング）、34プロセスで表したフレームワーク
（2）CMMI（Capability Maturity Model Integrated）
システム開発・保守プロセスの成熟度モデル
（3）ITIL（IT Infrastructure Library）
ITサービス管理・運用プロセスのフレームワーク
（4）ISO/IEC 27001
情報セキュリティマネジメントシステムの要求事項を示した国際規格

また、会計システムなど個々の業務アプリケーションシステムにおいては、データの入出力や処理について、（1）正確性、（2）網羅性、（3）正当性、（4）維持継続性などの観点から内部統制の機能を組込むことになる。

ITガバナンスを確立するには、システムの企画・開発・運用・保守のプロセス全般について、上記のフレームワークなどを参考にして、組織としての方針、基準、手続等を整備するとともに、適切に運用することが求められる。また、ITによる統制が有効性に機能していることを第三者に見えるようにITプロセスを可視化すること、つまり、手続を記録し、保存することがポイントとなる。