Home > セキュリティプラットフォーム > 内部統制コラム > 既存の内部統制を有効利用した効果的な日本版SOX法対応とは

既存の内部統制を有効利用した効果的な日本版SOX法対応とは - 1

この記事の掲載誌は、「日経コンピュータ」2007年3月19日号、「日経情報ストラテジー」2007年5月号、「日経SYSTEMS」2007年4月号、「日経ソリューションビジネス」2007年3月30日号です。

 日本版SOX法に対応するため、社内のITシステムや業務処理を大幅に変更しなければならないというのは大きな誤解だ。そもそも上場企業の多くは株式公開時に内部統制の構築経験があるはずだ。その経験を有効利用することで、期間、予算、人員を抑えた継続的な内部統制強化の取り組みを推進できる。本講演では、こうした取り組みを支援するエンドポイント情報漏洩対策ソフトウエア「セキュリティプラットフォーム」を活用した、具体的な解決策が提示された。

上場企業は株式公開時に内部統制構築を経験済み

  日本版SOX法対応における内部統制の構築、運用、評価、報告について、総合財務会計研究所の水野 雅生氏は5つの要点を挙げる。

  「1つ目が、上場企業あるいは上場準備中の企業であれば、内部統制の構築に関しては実務上、すでに経験済みであるということです。その際、運用実績をまとめて証券取引所や証券会社の審査を受けたケースもあるでしょう。ともかく自信をもって引き続き、内部統制の強化に臨んでください」

  2つ目が、経営者に今回の内部統制の重要性を認識してもらうことである。「公開準備の時と異なるのは、内部統制の運用を継続的に行わなければならない点です。受験勉強のように合格すれば終わりではありません。社内のモニタリングを絶えず行い、評価、報告し、監査を受けることになるため、トップが粘り強く取り組む決意を示し、それを全社に浸透させる必要があります」と水野氏は話す。

  3つ目が、ITに対する誤解を正す点だ。内部統制の有効性の判断基準となる内部統制の基本的要素に「ITへの対応」とあるが、今までのシステムに大幅な変更や追加を加える必要はまったくないと水野氏は指摘する。「公開準備の時を思い出してほしいのですが、何か特別なハード/ソフトを導入したでしょうか。大切なのは社内のIT環境を手のひらに載せるようにすべて『見える化』すること。導入するのであれば、製品の特長をよく理解することが先決です。その点、後で紹介されるハミングヘッズの情報漏洩対策ソフト『セキュリティプラットフォーム(以下、SeP)』は既存のインフラを変更せずに済むことから、有効なツールといえるでしょう」

  4つ目が、今回の内部統制では構築に加えて、新たに評価、報告、監査というフェーズが盛り込まれた点だ。ポイントの一つ目で上場企業であれば構築については経験済みと水野氏は指摘したが、それ以降について経験した企業は現時点でほとんどないという。そこで監査の専門家である会計士の指導などを活用してほしいと述べる。

  最後に、社内に専任担当者を設置すべきと水野氏。「継続的に内部統制活動を進めるには、取扱商品や事業規模が変わってもメンテナンスし続けるためのマンパワーが必要です。社外に委託してもよいですが、経営者が社内に意気込みを伝えるためにも、実務者を社内で育成するのが望ましいでしょう」と語った。