その他
<J-SOX法“直前対策”特集>対策の一環でセキュリティ“再浮上”
2007/11/12 14:53
週刊BCN 2007年11月12日vol.1211掲載
「金融商品取引法(J-SOX法)」の適用を間近に控え、同法に対応した内部統制の整備が企業における最重要課題になっている。非上場のSMB(中堅・中小企業)といえども、内部統制基盤を整備することは、企業競争力や社会的な信用を高めるチャンスと捉えるべきである。ここでは、SMBが内部統制基盤を整備するうえで必要となるITツールを紹介する。これらにより、内部統制に準拠した強固なセキュリティ対策が可能になる。企業のシステムを構築するSIerは、こうした導入・運用支援を行うことでビジネスチャンスが広がることになる。
<SPECIAL COMMENTARY>活況呈するセキュリティ市場
内部統制とは、企業内において違法行為や不正行為が行われることなく、組織が健全かつ有効・効率的に運営されるように、各業務で所定の基準や手続きを定め、それに基づいて企業内部で管理・監視・保証を行うことをいう。米国では、大手企業の会計不祥事が相次いだことから、2002年にSOX法(サーベンス・オクスリー法)が成立し、経営者に内部統制システムの構築・運用が義務づけられた。これに伴い、日本でも、06年6月に証券取引法の抜本改正となる金融商品取引法(J-SOX法)が成立し、09年3月期の決算から上場企業とグループ会社に内部統制報告書の提出と公認会計士によるチェックが義務づけられることになった。これに違反すると、最悪の場合は上場廃止になる可能性もあるため、その対策は急務となっている。
J-SOX法は、基本的に上場企業を対象にしているが、非上場のSMBも無関心ではいられない。この先、上場企業から取引条件として内部統制の整備が求められることが予想されるからだ。ただ、決してネガティブに捉える必要はない。内部統制基盤を整備することによって、業務プロセスの効率化が進み、従来の業務プロセスの無駄を省くことが可能になるからである。そのうえ、情報セキュリティが大幅に強化されるので、「個人情報保護法」対策としても効果を発揮する。SMBにおいても、内部統制強化を視野に入れた社内システム構築が、重要なIT戦略として位置づけられるようになっているといえる。
内部統制を視野に入れた社内システムといっても、具体的にどのように構築したらよいのか分からないSMBが大多数だ。そこで、内部統制の整備に必要となるITツールを紹介する。
■業務フローの健全化にワークフローが効果的
J-SOX法に対応した内部統制を実現するためにはまず、正確な財務報告を行うための基幹業務システムが必要となる。現在では、多くのSMBがパソコンを導入し、ソフトウェアベンダーが提供する基幹業務パッケージを利用している。しかし、販売管理や財務管理などそれぞれ異なるパッケージで導入している場合は、データの連携がスムーズに行えない。結果的には、同じようなデータを何度も入力する手間がかかり、入力ミスが生じる可能性も高くなる。
販売管理や財務管理などのシステムはなるべく1社の基幹業務パッケージで統一することが望ましい。それにより、データのシームレスな連携が可能になるので、業務効率が向上し、入力ミスも軽減される。
内部統制を強化するには、ルールに基づいた業務フローの実現、業務フローの可視化によるリアルタイムな決裁状況の把握、承認ログによる決裁管理が求められており、ITツールとして重要な役割を果たすものがワークフローシステムである。
ルールに基づいた業務フローの実現とは、たとえば、申請フォームごとに利用制限を設定することである。正社員はすべての申請フォームを利用できるが、契約社員は自分の業務に関するものだけ、アルバイトに関しても、より限られたものだけが利用できるように制限する。
このような制限を設定することで、権限外の申請をさせないようにすることが重要だ。また、申請フォームごとに適正な承認ルートを設定することで、利用者が意識しなくても適正な手順で承認申請ができるようになる。 業務フローの可視化によるリアルタイムな決裁状況の把握とは、自分が提出した申請や自分が承認した稟議の申請過程などを確認できることだ。紙ベースでは、申請書が途中で紛失することもあり得るし、承認処理が誰で止まっているのか把握することが困難。決裁状況がリアルタイムに把握できれば、承認処理を行っていない部長などに総務から催促することができ、業務フローがスムーズに流れる。
承認ログによる決裁管理とは、承認フローのログ管理と過去の稟議のアーカイブ管理をきちんと行うことである。これは内部統制において非常に重要だ。
たとえば、ある資産購入の稟議を、いつ、誰が申請し、どのような承認ルートを経て決裁されたのかを後から調べることができる。不適切な資産購入をした人の責任を追及することができるからだ。実際にワークフローシステムを導入する際には、以上のような機能を備えているものを選びたい。
■ますます重要性が高まるドキュメント管理システム
内部統制を強化するには、社内の業務規程などを明文化して従業員に周知徹底を図る必要がある。その結果、社内のドキュメントは必然的に増えていく。これを効率的に管理する手段として、ドキュメント管理システムが必要となる。
ただし、ドキュメント管理システムを導入する際には、文書登録や検索のしやすさなどだけではなく、内部統制に対応した機能が搭載されているかどうかを事前に確認しておかなければならない。特にポイントになるのが、情報へのアクセス制御機能だ。アクセス制御とは、所属部署や役職、立場などの職務権限に応じてフォルダや文書ごとにアクセス制限を設定できる機能。これにより、機密文書や個人情報などが部外者に閲覧される心配がなくなる。ログ管理機能などを利用して、誰が、いつ、どの文書にアクセスしたのか記録に残しておくと、万一、情報漏えいした際に原因を究明できるようになる。こうしたドキュメント管理システムの機能を効果的に活用することで、内部統制に対応した適切な管理が可能になる。
企業情報ポータルシステムを活用すれば、内部統制に必要とされる、適切かつ円滑な情報伝達基盤を容易に構築することが可能になる。その際のポイントは、企業の経営方針や行動指針など、従業員に周知徹底したいことをトップページに表示して従業員の意識統一を図ることである。企業情報ポータルシステムのパーソナライズ機能を利用すれば、役職や職種などに応じた情報のみを開示することもできるので、部外者への情報漏えいを未然に防ぐこともできる。企業情報ポータル上で教材の配信や受講管理を行うことにより、内部統制を機能させるために必要な知識や技能を従業員に周知することも可能になる。eラーニングの仕組みを新たに構築する必要がないので経済的だ。
■重要性増すIT資産管理やセキュリティツール
内部統制基盤を確立するうえでは、情報漏えいなどによって投資家などへの被害が生じないようにセキュリティ対策を強化する必要がある。まず行わなければならないのは、現在、企業内でどのようなITを活用し、どこにセキュリティ上の問題点があるかを把握することだ。従業員が利用するパソコンを1台ずつ手作業で調べていては、余計な時間や手間がかかってしまうため、正確な情報を収集することも難しい。この解決方法として、IT資産管理ツールが注目を集めている。
IT資産管理ツールの導入メリットは、社内のパソコンやサーバーのスペックやインストールされているソフトウェアなどの正確な情報を、時間や手間をかけずに自動的に収集して一元管理できる点にある。特に専任のシステム管理者のいないSMBにとっては利用価値が高い。
また、IT資産管理ツールを導入することでセキュリティ対策を大幅に強化することができる。例えば、OSのセキュリティパッチやウイルス対策ソフトのパターンファイルのアップデートを個人に任せてしまうと、必ず放置する者が出てくる。IT資産管理ツールを使えば、そうした作業が自動的に行えるので、セキュリティ上のリスクを抑えられる。さらに、各パソコンで使用されているソフトウェアを一元管理することにより、情報漏えいの要因となる不正なファイル共有ソフトの使用を禁止・監視することもできる。
ところが、会社のパソコンをきちんと管理したとしても、個人で購入した私用のノートパソコンを会社に持ち込んで利用している場合は、その管理に困難さが伴う。このため、にわかに注目を集めているが検疫システムだ。
検疫システムとは、OSのセキュリティパッチやウイルス対策ソフトのパターンファイルの適用状況などを検査し、セキュリティポリシーに準じたパソコンのみ接続を許可するシステムである。たとえば、持ち込みパソコンにウイルス感染の可能性がある場合は、それを隔離し、必要に応じてパッチの適用などの対策を自動的に行う。安全が確認しされた時点で社内のネットワークにアクセスすることを許可する。ここ数年、持ち込みパソコンによる情報漏えい事件が多発しているので、検疫システムに対する潜在ニーズは強い。
■SMBへの導入支援でビジネスチャンス拡大
内部統制対策というと、難しそうなイメージがあるかもしれない。だが、上記のようなITツールを活用することで比較的容易に実現することができる。
「J-SOX法」で直接対象となる上場企業やその関連子会社であれば、内部統制の専門家によるコンサルティングが必要になるが、当然のことながら費用もかさむ。しかし、将来に備えて内部統制の基本的な基盤を構築しておきたいというSMBにとっては、このような対策でも十分価値はある。とはいえ、実際にITツールを内部統制の観点から導入・運用していくためには、どうしても専門的な知識が必要になるので、SIerがそれを支援することでビジネスチャンスは広がる。
実際、SIerのなかには、SMB向けのコンサルティングメニューを用意しているところもある。そうした取り組みを強化することで、IT市場は今後ますます活性化していくことだろう。
<SPECIAL COMMENTARY>活況呈するセキュリティ市場
簡単・短期導入できるツール多数
■SMBにも必須!「内部統制」の基盤整備内部統制とは、企業内において違法行為や不正行為が行われることなく、組織が健全かつ有効・効率的に運営されるように、各業務で所定の基準や手続きを定め、それに基づいて企業内部で管理・監視・保証を行うことをいう。米国では、大手企業の会計不祥事が相次いだことから、2002年にSOX法(サーベンス・オクスリー法)が成立し、経営者に内部統制システムの構築・運用が義務づけられた。これに伴い、日本でも、06年6月に証券取引法の抜本改正となる金融商品取引法(J-SOX法)が成立し、09年3月期の決算から上場企業とグループ会社に内部統制報告書の提出と公認会計士によるチェックが義務づけられることになった。これに違反すると、最悪の場合は上場廃止になる可能性もあるため、その対策は急務となっている。
J-SOX法は、基本的に上場企業を対象にしているが、非上場のSMBも無関心ではいられない。この先、上場企業から取引条件として内部統制の整備が求められることが予想されるからだ。ただ、決してネガティブに捉える必要はない。内部統制基盤を整備することによって、業務プロセスの効率化が進み、従来の業務プロセスの無駄を省くことが可能になるからである。そのうえ、情報セキュリティが大幅に強化されるので、「個人情報保護法」対策としても効果を発揮する。SMBにおいても、内部統制強化を視野に入れた社内システム構築が、重要なIT戦略として位置づけられるようになっているといえる。
内部統制を視野に入れた社内システムといっても、具体的にどのように構築したらよいのか分からないSMBが大多数だ。そこで、内部統制の整備に必要となるITツールを紹介する。
■業務フローの健全化にワークフローが効果的
J-SOX法に対応した内部統制を実現するためにはまず、正確な財務報告を行うための基幹業務システムが必要となる。現在では、多くのSMBがパソコンを導入し、ソフトウェアベンダーが提供する基幹業務パッケージを利用している。しかし、販売管理や財務管理などそれぞれ異なるパッケージで導入している場合は、データの連携がスムーズに行えない。結果的には、同じようなデータを何度も入力する手間がかかり、入力ミスが生じる可能性も高くなる。販売管理や財務管理などのシステムはなるべく1社の基幹業務パッケージで統一することが望ましい。それにより、データのシームレスな連携が可能になるので、業務効率が向上し、入力ミスも軽減される。
内部統制を強化するには、ルールに基づいた業務フローの実現、業務フローの可視化によるリアルタイムな決裁状況の把握、承認ログによる決裁管理が求められており、ITツールとして重要な役割を果たすものがワークフローシステムである。
ルールに基づいた業務フローの実現とは、たとえば、申請フォームごとに利用制限を設定することである。正社員はすべての申請フォームを利用できるが、契約社員は自分の業務に関するものだけ、アルバイトに関しても、より限られたものだけが利用できるように制限する。
このような制限を設定することで、権限外の申請をさせないようにすることが重要だ。また、申請フォームごとに適正な承認ルートを設定することで、利用者が意識しなくても適正な手順で承認申請ができるようになる。 業務フローの可視化によるリアルタイムな決裁状況の把握とは、自分が提出した申請や自分が承認した稟議の申請過程などを確認できることだ。紙ベースでは、申請書が途中で紛失することもあり得るし、承認処理が誰で止まっているのか把握することが困難。決裁状況がリアルタイムに把握できれば、承認処理を行っていない部長などに総務から催促することができ、業務フローがスムーズに流れる。
承認ログによる決裁管理とは、承認フローのログ管理と過去の稟議のアーカイブ管理をきちんと行うことである。これは内部統制において非常に重要だ。
たとえば、ある資産購入の稟議を、いつ、誰が申請し、どのような承認ルートを経て決裁されたのかを後から調べることができる。不適切な資産購入をした人の責任を追及することができるからだ。実際にワークフローシステムを導入する際には、以上のような機能を備えているものを選びたい。
■ますます重要性が高まるドキュメント管理システム
内部統制を強化するには、社内の業務規程などを明文化して従業員に周知徹底を図る必要がある。その結果、社内のドキュメントは必然的に増えていく。これを効率的に管理する手段として、ドキュメント管理システムが必要となる。ただし、ドキュメント管理システムを導入する際には、文書登録や検索のしやすさなどだけではなく、内部統制に対応した機能が搭載されているかどうかを事前に確認しておかなければならない。特にポイントになるのが、情報へのアクセス制御機能だ。アクセス制御とは、所属部署や役職、立場などの職務権限に応じてフォルダや文書ごとにアクセス制限を設定できる機能。これにより、機密文書や個人情報などが部外者に閲覧される心配がなくなる。ログ管理機能などを利用して、誰が、いつ、どの文書にアクセスしたのか記録に残しておくと、万一、情報漏えいした際に原因を究明できるようになる。こうしたドキュメント管理システムの機能を効果的に活用することで、内部統制に対応した適切な管理が可能になる。
企業情報ポータルシステムを活用すれば、内部統制に必要とされる、適切かつ円滑な情報伝達基盤を容易に構築することが可能になる。その際のポイントは、企業の経営方針や行動指針など、従業員に周知徹底したいことをトップページに表示して従業員の意識統一を図ることである。企業情報ポータルシステムのパーソナライズ機能を利用すれば、役職や職種などに応じた情報のみを開示することもできるので、部外者への情報漏えいを未然に防ぐこともできる。企業情報ポータル上で教材の配信や受講管理を行うことにより、内部統制を機能させるために必要な知識や技能を従業員に周知することも可能になる。eラーニングの仕組みを新たに構築する必要がないので経済的だ。
■重要性増すIT資産管理やセキュリティツール
内部統制基盤を確立するうえでは、情報漏えいなどによって投資家などへの被害が生じないようにセキュリティ対策を強化する必要がある。まず行わなければならないのは、現在、企業内でどのようなITを活用し、どこにセキュリティ上の問題点があるかを把握することだ。従業員が利用するパソコンを1台ずつ手作業で調べていては、余計な時間や手間がかかってしまうため、正確な情報を収集することも難しい。この解決方法として、IT資産管理ツールが注目を集めている。
IT資産管理ツールの導入メリットは、社内のパソコンやサーバーのスペックやインストールされているソフトウェアなどの正確な情報を、時間や手間をかけずに自動的に収集して一元管理できる点にある。特に専任のシステム管理者のいないSMBにとっては利用価値が高い。
また、IT資産管理ツールを導入することでセキュリティ対策を大幅に強化することができる。例えば、OSのセキュリティパッチやウイルス対策ソフトのパターンファイルのアップデートを個人に任せてしまうと、必ず放置する者が出てくる。IT資産管理ツールを使えば、そうした作業が自動的に行えるので、セキュリティ上のリスクを抑えられる。さらに、各パソコンで使用されているソフトウェアを一元管理することにより、情報漏えいの要因となる不正なファイル共有ソフトの使用を禁止・監視することもできる。
ところが、会社のパソコンをきちんと管理したとしても、個人で購入した私用のノートパソコンを会社に持ち込んで利用している場合は、その管理に困難さが伴う。このため、にわかに注目を集めているが検疫システムだ。
検疫システムとは、OSのセキュリティパッチやウイルス対策ソフトのパターンファイルの適用状況などを検査し、セキュリティポリシーに準じたパソコンのみ接続を許可するシステムである。たとえば、持ち込みパソコンにウイルス感染の可能性がある場合は、それを隔離し、必要に応じてパッチの適用などの対策を自動的に行う。安全が確認しされた時点で社内のネットワークにアクセスすることを許可する。ここ数年、持ち込みパソコンによる情報漏えい事件が多発しているので、検疫システムに対する潜在ニーズは強い。
内部統制対策というと、難しそうなイメージがあるかもしれない。だが、上記のようなITツールを活用することで比較的容易に実現することができる。
「J-SOX法」で直接対象となる上場企業やその関連子会社であれば、内部統制の専門家によるコンサルティングが必要になるが、当然のことながら費用もかさむ。しかし、将来に備えて内部統制の基本的な基盤を構築しておきたいというSMBにとっては、このような対策でも十分価値はある。とはいえ、実際にITツールを内部統制の観点から導入・運用していくためには、どうしても専門的な知識が必要になるので、SIerがそれを支援することでビジネスチャンスは広がる。
実際、SIerのなかには、SMB向けのコンサルティングメニューを用意しているところもある。そうした取り組みを強化することで、IT市場は今後ますます活性化していくことだろう。
「金融商品取引法(J-SOX法)」の適用を間近に控え、同法に対応した内部統制の整備が企業における最重要課題になっている。非上場のSMB(中堅・中小企業)といえども、内部統制基盤を整備することは、企業競争力や社会的な信用を高めるチャンスと捉えるべきである。ここでは、SMBが内部統制基盤を整備するうえで必要となるITツールを紹介する。これらにより、内部統制に準拠した強固なセキュリティ対策が可能になる。企業のシステムを構築するSIerは、こうした導入・運用支援を行うことでビジネスチャンスが広がることになる。
続きは「週刊BCN+会員」のみ
ご覧になれます。
(登録無料:所要時間1分程度)
新規会員登録はこちら(登録無料) ログイン会員特典
- 注目のキーパーソンへのインタビューや市場を深掘りした解説・特集など毎週更新される会員限定記事が読み放題!
- メールマガジンを毎日配信(土日祝をのぞく)
- イベント・セミナー情報の告知が可能(登録および更新)
SIerをはじめ、ITベンダーが読者の多くを占める「週刊BCN+」が集客をサポートします。 - 企業向けIT製品の導入事例情報の詳細PDFデータを何件でもダウンロードし放題!…etc…
- 1
