Special Issue
<セキュリティソリューション特集> 内部統制をキーワードとした市場が活性化 より基盤に近い対策に注目が集まる 前編
2008/03/13 19:56
週刊BCN 2008年03月10日vol.1226掲載
ライブドアの元社長、堀江貴文被告の控訴審初公判が2008年2月22日、東京高等裁判所で行われた。堀江被告が逮捕されたのは06年1月のことだが、ライブドアによる粉飾決算事件が世間を騒がせたことは、まだ記憶に新しい。その後も多くの粉飾決算事件が相次ぎ、内部統制の整備・運用を求めた日本版SOX法の法整備が進んだ。『内部統制』をキーワードに広がっていくセキュリティソリューション市場の現状を追った。
日本版SOX法の対象は上場企業だが、実際は上場企業と取引のある中堅・中小企業に至るまで内部統制の整備が求められている。いくら上場企業だけが内部統制を整備したとしても、サプライチェーンが構築されている場合、取引先の企業も上場企業と同程度の内部統制を構築していなければ、そこがリスクとなってしまうためだ。
中には、子細にわたるチェックシートの定期的な提出を求められるケースもある。実際、情報漏えい対策として、チェックシートの提出が求められている企業は多い。その内容をみると、(1)内部統制は業務の有効性・効率性、(2)財務報告の信頼性、(3)法令順守、(4)資産保全-という4項目が目標とされている。情報漏えい対策よりも幅広い対策が必要であるため、作業工数の増大が予想されるが、企業の成長を左右する課題でもあり、内部統制を整備することは企業にとって大きなメリットになる。
セキュリティを構築する上で企業の実態がどうなっているかを知るため、「誰が」「いつ」「何をしたのか」というユーザーの操作ログを取得し、それらのログを企業システムのセキュリティ状態の監査に活用している企業が増えている。また、その前提となるID統合管理を導入する企業も、同様に増えているようだ。
企業の管理者だけではなく、CSR委員会のメンバーや経営層などが、現状を把握できるレポートを出力するソリューションも多い。なかには、設定情報などが分かりやすい形で確認できるものもある。このようなソリューションは、セキュリティポリシーと実際の設定が合致しているか確認できるため、市場から注目を集めている。
また、管理・運用面にフォーカスをあてたソリューションも増えている。内部統制やセキュリティを強化したくても、多くのリソースをそこに投入できない企業が実は多い。つまり、既存のリソースのまま広範囲の課題に対応するためには、管理・運用性を向上させる以外ないのだ。ITで処理できることを自動化しておくことで、管理者は本来の業務に集中できることになり、企業にとってのメリットも非常に大きくなる。
従来、管理者負担の軽減がうたわれてきたツールは、稟議が通りにくく、あまり導入されることはなかった。しかし、内部統制というキーワードが浸透するようになり、こういったツールの導入が一気に進んでいる。今後、このキーワードがさらに市場を広げていくだろうということは、容易に想像がつく。今後の動きに注目したい。
■取引のある企業も内部統制の構築は必須
冒頭ではライブドアを例に挙げたが、粉飾決算事件のみならず、インサイダー取引、食品偽装など、コンプライアンス(法令順守)の欠如から発生する事件・事故は後を絶たない。事件を起こした企業は、株主や消費者のみならず社会的信頼を失っている。当然のことだが、一度失った信頼を取り戻すのは、非常に難しい。これらの事件・事故が、市場経済に与えた影響は計りしれない。軌道修正するために国が行った施策の1つが、新会社法や日本版SOX法などの法整備だ。特に、証券取引法を改正した「金融商品取引法」の施行では、上場企業に対し、2008年4月以降の事業年度から財務報告が適正に行われていることを示す「内部統制報告書」の提出が義務づけられた。多くの企業が、内部統制の整備・運用を行うべくビジネスプロセスの見直しや企業システムの再構築を行わなければならなくなった。経営者が、決算書を作るプロセスを含めて「正しい」ことを証明しなければならず、その部分も含めて監査法人の確認が必要となったのである。
日本版SOX法の対象は上場企業だが、実際は上場企業と取引のある中堅・中小企業に至るまで内部統制の整備が求められている。いくら上場企業だけが内部統制を整備したとしても、サプライチェーンが構築されている場合、取引先の企業も上場企業と同程度の内部統制を構築していなければ、そこがリスクとなってしまうためだ。 中には、子細にわたるチェックシートの定期的な提出を求められるケースもある。実際、情報漏えい対策として、チェックシートの提出が求められている企業は多い。その内容をみると、(1)内部統制は業務の有効性・効率性、(2)財務報告の信頼性、(3)法令順守、(4)資産保全-という4項目が目標とされている。情報漏えい対策よりも幅広い対策が必要であるため、作業工数の増大が予想されるが、企業の成長を左右する課題でもあり、内部統制を整備することは企業にとって大きなメリットになる。
■内部統制を実現する6つの基本要素
今後、取引条件として内部統制を求める声はより強くなることだろう。しかし、内部統制は一朝一夕には整備できない。そのため、内部統制の整備は急務とされているのだ。内部統制を実現する6つの基本要素として、(1)内部統制の基礎となる「統制環境」、(2)経営リスクを認識し、そのリスクに対応する方針を決定する「リスク評価と対応」、(3)指示、命令などが適切に実行されるための方針・手続きなどを定める「統制活動」、(4)必要な情報を関係する組織などに適切に伝える「情報と伝達」、(5)内部統制の有効性・効率性を監視・評価する「モニタリング」、(6)組織目標を達成するためにあらかじめ適切な方針や手続きを定め、ITに応用する「ITへの対応」-が挙げられる。この6つの要素が、経営管理の仕組みに組み込まれるのだ。特に「ITへの対応」は、(1)から(5)までのすべての項目に関連するため、非常に重要な基本要素であるといえよう。内部統制といえば、財務諸表にかかわる部分がフォーカスされがちだが、企業の経済活動にITが欠かせない現在、IT統制は極めて重要な位置を占めている。内部統制を実現するためには、IT統制が不可欠となっているのだ。■企業システムの基盤となるセキュリティ
また、内部統制だけでなく、その基盤となる「セキュリティ」の強化も注目されている。セキュリティを確保し、企業システムの基盤を強固にしなければ、企業システムの信頼性が揺らいでしまうためだ。セキュリティを構築する上で企業の実態がどうなっているかを知るため、「誰が」「いつ」「何をしたのか」というユーザーの操作ログを取得し、それらのログを企業システムのセキュリティ状態の監査に活用している企業が増えている。また、その前提となるID統合管理を導入する企業も、同様に増えているようだ。
企業の管理者だけではなく、CSR委員会のメンバーや経営層などが、現状を把握できるレポートを出力するソリューションも多い。なかには、設定情報などが分かりやすい形で確認できるものもある。このようなソリューションは、セキュリティポリシーと実際の設定が合致しているか確認できるため、市場から注目を集めている。
また、管理・運用面にフォーカスをあてたソリューションも増えている。内部統制やセキュリティを強化したくても、多くのリソースをそこに投入できない企業が実は多い。つまり、既存のリソースのまま広範囲の課題に対応するためには、管理・運用性を向上させる以外ないのだ。ITで処理できることを自動化しておくことで、管理者は本来の業務に集中できることになり、企業にとってのメリットも非常に大きくなる。
従来、管理者負担の軽減がうたわれてきたツールは、稟議が通りにくく、あまり導入されることはなかった。しかし、内部統制というキーワードが浸透するようになり、こういったツールの導入が一気に進んでいる。今後、このキーワードがさらに市場を広げていくだろうということは、容易に想像がつく。今後の動きに注目したい。
