企業統治と内部統制

−　ITでどこまで対応すればよいか　―

企業統治と内部統制について、IT業界の動きがいろいろと出てきています。itSMF Japan の第3回カンファレンスが6月27,28日に開催され、発表された内容はJ-SOXに関連した内容が一番多く占めていました。次がISO/IEC2000に関連した規格化と認証に関連したもの、3番目が導入やアセスメントに関連した手法ならびに事例紹介といったものが主だったところでした。

J-SOXに絡んで、IT統制が要件として記述されているため、着目されているといったところではないかと推測されます。USAにおける法的規制ではIT統制にまでは言及されていなかったのですが、日本版では記述されるようになりました。この背景は種々複雑な内容があるようですが、USAでの実施に関しては、失敗であったという初期評価がありました。これは、企業が社会的要求を満たすために投資すべき対象と、クリアすべきレベルが高かったこと、がひとつの要因と考えられるでしょう。そこで、日本で適用するに当たって、まず上場企業に対象を絞ってきたこと、ITで管理すべきことを要件として記述することにより、統合化と簡略化（Unify & Simplify）を進めることによって、組織間の管理レベルの乖離や矛盾が発生しないようにすることと、過剰投資や重複した投資を回避することを目的としたように思えます。すでにITでできていることはITで処理し、ITで新規に処理できるところを対応し、人的コストや継続的に発生する費用をできるだけ少なく抑えることができないかといった面からの考慮が、かなり働いた結果のように見えます。

企業統治とは、皆さんもご存知のように、企業の社会責任を全うしていることを示すために、ステークホルダに対して説明責任を果たすことです。法律で開示することが要求されている情報を開示し、その情報が正しいものであることを保証しなければならないのです。企業を存続させるために、会社が社会的責任として実施していること、企業活動の成果、さらには、ビジネスの将来展望を明確にすることが要求されているのです。これは従来では、企業の経営線戦略にかかわる部分であり、その実現手段はまさしく戦術に関連した位置づけです。この領域に対して外部からの制約条件が、法律による拘束力という形で社会的責任を果たすことが企業活動の一環として求められるようになったということです。説明責任のもともとの言葉が“アカウンタビリティ”であるように、説明責任のもともとの役割は、企業活動の結果の会計的な詳細の説明にあったのです。会社が継続的に企業活動を行うためには、現在では、会計的な明朗さだけでは評価することができなくなってきているのです。製品やサービスとして市場に供給しているものは、健康で文化的な生活に役立つものであり、有害ではないことが必要です。その企業の経済活動も不正な手段や、不当な活動によってもたらされているものでないことを明示しなければなりません。

このように企業統治は、企業の全般的活動が法律を遵守していることが求められています。これが実施されていることを示すために、ITに求められる役割が割り当てられることになったのです。大きく分けて、以下の3つの側面から見ていけばよいと考えています。

記録：記録が必要なことは全て記録する
変更：業務手順や処理方法で発生した修正・変更を正確に記録し実施する
復旧：保管したデータは、ベースラインで復旧できる

内部統制は、企業統治を実現するに当たっての行動規範となります。行動規範というと、倫理的面や道徳的面がクローズアップされることが多く、人間的内面にかかわるものとして敬遠されがちでした。しかし、上記に関連し、会社の基本方針として設定される項目が重要性を増してきているのです。いろいろな会社で“コンプライアンス委員会”などが設置されているように、組織からの圧力は個人の正当な発言の機会を奪い、沈黙を強要することがあります。こういった事態を防がなくてはならないのです。このために、企業はその役割を担った組織を形成し、関連する人たちの教育を実施し記録を残す必要が在ります。

次に重要なのが情報の管理です。管理対象になる情報、データを定義し、管理が必要でないものと明確に区分します。区分された情報とデータは、管理方針が定められ、管理方法、管理者、保存期間、廃棄方法、廃棄記録などが残されなければならないのです。

近年のITに絡んだ事故や事件を見ていると、セキュリティのレベルではアクセス権限がある人がそのアクセス権限内で犯罪を行っているという例が多くなってきたという傾向があるように見えます。また、大量の重要なデータが保管されているし、高速でアクセス可能でコピーが可能であるという技術的な進展も一誘因となっているようです。これらの観点からも、内部統制をしっかりと実現することが必要なのです。

企業統治と内部統制の実施に当たって、早期実現と効果的投資と効率的リソース活用のために、統合化と簡略化をバランスよく導入していくことが重要です。その概念的な説明から、具体的なツールによる解決法までを提供しています。

ご興味のある方は、以下の情報を参照の程お願いいたします。
■【大阪開催】CA 「日本版SOX法」対応セミナー 〜IT環境における内部統制 セキュリティの果たす役割〜
開催：7月26日(水) 13:30〜 @ 大阪第一ホテル(大阪マルビル)
・ 基調講演：カーネギーメロン大学日本校教授 武田 圭史 様
・ CAのセキュリティを中心とする内部統制対策ソリューション紹介
・ 事例講演：東芝情報システム株式会社　／　プロミス株式会社

■CAセキュリティソリューションセミナー　 〜IAMによる内部統制実現にむけて〜(上述大阪セミナーよりも、もう少しCA製品の機能にフォーカスした内容)
開催：7月26日(水)15:00〜 @ CA新宿セミナールーム
　　　　8月9日(水)15:00〜 @ CA新宿セミナールーム
　　　　8月11日(金)15:00〜 @ CA大阪セミナールーム

■初めてのバックアップ／リカバリ講座　 〜バックアップの「いろは」から、内部統制のバックアップの考え方まで〜
開催：8月24日(木)14:00〜 @ 新宿三井ビル13F 会議室A
　　　　9月21日(木)14:00〜 @ 新宿三井ビル13F 会議室A

前田　隆