■企業に求められる内部統制
　日本版SOX法の目的は、内部統制システムの構築を課すことで、企業の信頼性を高め、企業活動を保証することにある。それは、

1　統制環境
2　リスク評価
3　統制活動
4　情報と伝達
5　モニタリング（監視活動）

の構築と記録を義務づけ、さらにITによる情報管理（IT統制）を重視し、業務処理統制（財務会計システムおよび関連システム運用の不正防止）と全般統制（情報システムのアプリケーションおよびネットワークの開発・運用の不正防止）による内部統制を適用することにある。

　このような内部統制は、内部統制マニュアルに基づき業務フロー図と職務分離表を作成し、さらにそれを具体的に統制するために、リスクコントロールマトリックス（RCM）の作成および運用が必要となる。RCMは内部統制において、リスクの所在/リスク管理/リスク対処方法を明文化した規則書（ルールブック）であり、企業はRCMに基づき、統制活動およびリスクマネジメントを行うことができる。

　RCM作成にあたって、全般統制では、米国公認会計士団体が策定したCOSOレポート（内部統制の具体的方法論および枠組み）に準拠し、特にIT統制に関しては、米国のISACAの下部組織であるIT Governance Instituteにより公表されているCOBIT（IT分野における内部統制ガイドライン）に学び、情報セキュリティの監査基準や成熟度レベル、統制評価基準などに反映していくことが大切である。COBITは、内部統制を4つの管理プロセス（企画・計画と管理／IT調達と開発／デリバリと支援／モニタリング）と34のITプロセスとして位置づけ、そのプロセスを、主要成功要因、重要目標達成指標、重要業績達成指標、それらの成熟度を6段階（存在無し　初歩　反復可能　定義　管理　最適）に評価している。
　
■ITIL的手法と運用ツールの利用
　IT内部統制は、全般統制として業務処理統制を支えるために、ハードウェア管理やネットワーク運用、ソフトウェア開発・変更、アクセス権セキュリティ管理、アプリケーションシステム取得を含むITインフラの全般的な保守およびメンテナンスに対する統制を定めている。特に開発に関して重要なことは、アプリケーションのテストが、様々なリスクを前提として行われ、正しく稼動することが、業務上の絶対条件である。また不具合に備えて、記録（ドキュメント）を残す必要があるが、開発スケジュール上、丹念な「足跡」を残せないのが実情であろう。

　すでにITIL的手法の導入をすすめ、日本版SOX法の施行までの限られた時間のなかで対処するためには、開発テストを支援するアプリケーションの完全性・可用性・保全性をテストするための様々なツールを使用する必要がある。ツールを使用することで、品質測定を自動化することができ、品質を定量的に判断でき、各工程への移行基準が明確になる。ツールの導入は、テストの結果だけではなく、その後の開発期間の短縮により、無理のない開発をすすめることも可能である。

　ツールには、

1　アプリケーションの完全性、可用性、保全性をテストするためのもの
2　エンドユーザのアプリケーション操作を記録し、再生することで、情報システム全体に関わるパフォーマンスを測定するもの
3　ネットワーク状況を監視し、アプリケーションとネットワーク関係のパフォーマンス状況を収集するもの
4　サーバ、データベース、アプリケーションを監視するもの
5　システムパフォーマンスの低下（悪化）の原因をサーバ、ネットワーク、アプリケーションに特定するもの
6　エンドユーザのレスポンスタイムを基準に、ネットワークへの影響を予測するもの
7　1～6のツールから入手できる情報を総合的に表示するもの

などがある。

　ITIL的手法の延長上に日本版SOX法を位置づけ、取り組むことが対応軽減の近道である。