Home > セキュリティプラットフォーム > 内部統制コラム > セキュリティプラットフォームが業務の正当性を証明する

セキュリティプラットフォームが業務の正当性を証明する・予防的統制と発見的統制

予防的統制と発見的統制

 日本版SOX法が求める内部統制への対応は、一般的に作成される業務記述書や業務フロー、RCM(リスクコントロールマトリクス)の作成、想定されるリスクの洗い出しなど、「予防的統制」に終始しているのが現状です。結果として、手間とコストがかかりすぎるばかりでなく、過度な対応のあまり、業務に支障を来している会社も少なくありません。
 しかし、「予防的統制」はあくまでも業務の平均値を求めたものであり、実際の業務とは大きな差があります。その証拠に、実際の業務においては想定外のリスクがしばしば発生します。その想定外のリスクに対応するためには、「予防的統制」だけでは論理的に限界があり、自社業務の正当性を証明するには効果的なモニタリングによる「発見的統制」が重要になってきます。つまり、「予防的統制」と「発見的統制」のどちらが欠けても、内部統制は構築されたとは言い難いのです。

 内部統制、本来の目的は自社業務の正当性を証明し、証券市場に対して財務報告の透明性、信頼性を担保することです。
 発見的統制(効果的なモニタリング)を行うためには、第三者の目から見て明らかに業務の正当性が証明できる客観的データが有効になります。そのデータは、業務上使用するPCの操作履歴です。
 いまやPCはビジネスに欠かせないものであり、PCの操作履歴は業務記録と同義と捉えても差し支えないため、業務の正当性を証明する最適なデータであるといえます。
 その最適なデータを活用して「何を行ったのか」を証明できる、極めて現実的な内部統制を容易に実現するソリューションは、ハミングヘッズのエンドポイント情報漏洩対策ソフト セキュリティプラットフォーム(SeP)しかありません。