Special Issue
<セキュリティソリューション特集> 日本版SOX法、文書化フェーズから運用フェーズに 内部統制関連商材の投入で活性化する市場 前編
2008/02/14 19:56
週刊BCN 2008年02月11日vol.1222掲載
日本版SOX法により「内部統制」をキーワードとした市場が立ち上がりつつある。証券取引法を改正した「金融商品取引法」が施行され、上場企業は、09年3月期以降の決算から内部統制報告書の提出が義務づけられているためだ。日本版SOX法の適用を目前に控え、関連市場が活性化している。
従来、決算書の内容が正しいかどうかという監査は、監査法人によって行われていた。しかし、日本版SOX法の適用により、経営者が決算書を作るプロセスを含めて「正しい」ことを証明する必要があり、その部分も含めて監査法人の確認が必要となった。また、内部統制の監査については、日本公認会計士協会より「財務報告に係る内部統制の監査に関する実務上の取扱い」が公開されているが、この中で整備状況評価と運用状況評価が業務に組み込まれているかどうかまで監査されることが明確になっている。
08年4月以降、多くの企業は内部統制の運用を余儀なくされている。財務報告書が正しく作られていることや、その保証が求められるようになるのだ。内部統制の運用フェーズまで、残された時間はあまりにも短い。多くの企業は、その対応に追われている。
企業の中には、業務プロセスなどの文書化には手をつけているものの、内部統制の運用については未着手というところがあるようだ。内部統制において「文書化」がフォーカスされているが、しかし「文書化」したとおりに運用できるかどうかまで踏み込まずにいる企業も少なくない。日本版SOX法の適用を目前に控え、日本において運用フェーズを経験している企業はほとんどないといっても過言ではない。そのため、ノウハウの蓄積もなく、実際に運用し始めると何が起きるのかわからないというのが実情だ。しかも、内部統制は文書化だけにとどまらない。内部統制の真の課題は、運用フェーズに表面化してくるだろう。
日本版SOX法の対象は上場企業だが、その取引先である中堅・中小規模企業も内部統制に対応していく必要があるとみられている。上場企業が内部統制の構築・運用を進めていくと、その取引先に対しても、自社と同等程度の内部統制を求める可能性は高いからだ。上場企業がいかに内部統制を構築しても、その取引先の体制が不十分であればリスクとなる。そのリスクを回避するために、取引条件として内部統制の整備・運用を求められることも十分に考えられるからだ。つまり、上場企業以外に関しても、事実上内部統制の整備・運用を行わざるを得ない状況にある。
そのようななか、注目されているのがロギングソリューションだ。特に、拡張性が高く、大規模企業で活用できる最新のアーキテクチャを用いたソリューションに人気が集まっている。現在、内部統制の構築・整備・運用を急いでいるのは上場企業である。つまり、企業規模も大きく、現在だけではなく今後も見据えたソリューションを求めている。そのため、ロギングツールのメジャーバージョンアップや新製品が相次いで投入され、市場自体も活性化している。最新のアーキテクチャを用いたソリューションで将来の拡張性に備えたり、ログのデータベースにOracleデータベースを採用し、データベースの信頼性を大幅に向上させたソリューションなどもある。
ロギングツールは、企業にとって必須のソリューションといえるだろう。独立行政法人 情報処理推進機構が昨年12月「情報セキュリティに関する脅威に対する意識調査(2007年度第1回)」という報告書を公開した。「情報セキュリティに対する意識(職業別)」の中で、企業の経営者・役員や会社員、契約社員/派遣社員などで、情報セキュリティに対する意識が大きく異なることも明らかになっている。情報セキュリティ意識に大きく差が生じていれば、そこがセキュリティリスクとなる可能性は大いに高い。その差を埋めるためにも、操作ログを取得し、リスクを低減していく必要があるのだ。
また、レポートツールも拡充されており、ログを活用した新しいソリューションも生まれている。管理工数を低減させながら、運用しやすいソリューションも多く、ユーザー企業からも注目を集めているようだ。また、ASP・SaaS型のサービスを提供し、IT統制の一助となるような提案を行う企業も出始めている。企業は、そういったサービスも組み合わせ、費用対効果が最大となるようなシステムを構築し始めている。
また、企業が導入してきたセキュリティソリューションの中には、IT統制に対応できないものも出始めている。そのため、IT統制を実現するために、システムの入れ替えを検討する企業も増えている。セキュリティベンダーにとっては、ビジネスチャンスが訪れているといえるだろう。
■日本版SOX法 ついに運用フェーズに
「内部統制」が求められる背景に、企業の粉飾決算や証券取引法違反が相次いだことがあげられる。これらの事件により、市場経済の根幹が揺さぶられ、市場に大きな影響を与えた。また、事件を引き起こした企業は、ステークホルダーに損害を与え社会的信頼も失墜する。業績も大幅に低下し、存亡の危機に立つケースもまれではない。そのような事件を未然に防ぐためにも、内部統制の整備は不可避となっている。従来、決算書の内容が正しいかどうかという監査は、監査法人によって行われていた。しかし、日本版SOX法の適用により、経営者が決算書を作るプロセスを含めて「正しい」ことを証明する必要があり、その部分も含めて監査法人の確認が必要となった。また、内部統制の監査については、日本公認会計士協会より「財務報告に係る内部統制の監査に関する実務上の取扱い」が公開されているが、この中で整備状況評価と運用状況評価が業務に組み込まれているかどうかまで監査されることが明確になっている。
08年4月以降、多くの企業は内部統制の運用を余儀なくされている。財務報告書が正しく作られていることや、その保証が求められるようになるのだ。内部統制の運用フェーズまで、残された時間はあまりにも短い。多くの企業は、その対応に追われている。
企業の中には、業務プロセスなどの文書化には手をつけているものの、内部統制の運用については未着手というところがあるようだ。内部統制において「文書化」がフォーカスされているが、しかし「文書化」したとおりに運用できるかどうかまで踏み込まずにいる企業も少なくない。日本版SOX法の適用を目前に控え、日本において運用フェーズを経験している企業はほとんどないといっても過言ではない。そのため、ノウハウの蓄積もなく、実際に運用し始めると何が起きるのかわからないというのが実情だ。しかも、内部統制は文書化だけにとどまらない。内部統制の真の課題は、運用フェーズに表面化してくるだろう。
日本版SOX法の対象は上場企業だが、その取引先である中堅・中小規模企業も内部統制に対応していく必要があるとみられている。上場企業が内部統制の構築・運用を進めていくと、その取引先に対しても、自社と同等程度の内部統制を求める可能性は高いからだ。上場企業がいかに内部統制を構築しても、その取引先の体制が不十分であればリスクとなる。そのリスクを回避するために、取引条件として内部統制の整備・運用を求められることも十分に考えられるからだ。つまり、上場企業以外に関しても、事実上内部統制の整備・運用を行わざるを得ない状況にある。
■内部統制と切り離せない ITへの対応は必至
内部統制といえば、財務諸表にかかわる部分がフォーカスされがちだが、IT化が進む企業の内部統制において、IT統制は極めて重要な位置を占めている。ITは、すでに企業の業務基盤となっており、内部統制と切り離すことができない。また、日本版SOX法においては「ITへの対応」が明確にうたわれており、内部統制を実現するためにはIT統制が不可欠ということが明確となっている。そのようななか、注目されているのがロギングソリューションだ。特に、拡張性が高く、大規模企業で活用できる最新のアーキテクチャを用いたソリューションに人気が集まっている。現在、内部統制の構築・整備・運用を急いでいるのは上場企業である。つまり、企業規模も大きく、現在だけではなく今後も見据えたソリューションを求めている。そのため、ロギングツールのメジャーバージョンアップや新製品が相次いで投入され、市場自体も活性化している。最新のアーキテクチャを用いたソリューションで将来の拡張性に備えたり、ログのデータベースにOracleデータベースを採用し、データベースの信頼性を大幅に向上させたソリューションなどもある。
ロギングツールは、企業にとって必須のソリューションといえるだろう。独立行政法人 情報処理推進機構が昨年12月「情報セキュリティに関する脅威に対する意識調査(2007年度第1回)」という報告書を公開した。「情報セキュリティに対する意識(職業別)」の中で、企業の経営者・役員や会社員、契約社員/派遣社員などで、情報セキュリティに対する意識が大きく異なることも明らかになっている。情報セキュリティ意識に大きく差が生じていれば、そこがセキュリティリスクとなる可能性は大いに高い。その差を埋めるためにも、操作ログを取得し、リスクを低減していく必要があるのだ。
また、レポートツールも拡充されており、ログを活用した新しいソリューションも生まれている。管理工数を低減させながら、運用しやすいソリューションも多く、ユーザー企業からも注目を集めているようだ。また、ASP・SaaS型のサービスを提供し、IT統制の一助となるような提案を行う企業も出始めている。企業は、そういったサービスも組み合わせ、費用対効果が最大となるようなシステムを構築し始めている。
また、企業が導入してきたセキュリティソリューションの中には、IT統制に対応できないものも出始めている。そのため、IT統制を実現するために、システムの入れ替えを検討する企業も増えている。セキュリティベンダーにとっては、ビジネスチャンスが訪れているといえるだろう。
関連記事
<セキュリティソリューション特集> 日本版SOX法、文書化フェーズから運用フェーズに 内部統制関連商材の投入で活性化する市場 後編
