内部統制とは - ITからの観点
「金融商品取引法」の一部分を、別名、日本版SOX法と呼んでいる。金融商品取引法は、もともと、1948年(昭和23年)にアメリカの法制度から学んで、日本で法制化した「証券取引法」がその元となっている。金融システムの世界的な大きな流れとして、米国 SOX 法を始め、イギリスやドイツ、EUなどでは、2000年ごろから、エンロンやワールドコムの事件による、企業の不正会計が元になり、投資家の保護、企業活動の透明性、などを求める法律が出来てきている。
ちなみに、SOX法と呼んでいるのは、正式な名前ではない。米国の法律が、法案を提出した議員の名前で呼ばれるからで、サーベンスさんとオクスリーさんが提出したので、その頭文字を取った。正式名は、Public Company Accounting Reform and Investor Protection Act of 2002である。
さて、日本の場合、今回の改正で重要になるのが、企業の経営者が事業年度ごとに内閣総理大臣に提出する事を義務づけられている「内部統制報告書」だ。報告書の中身は;
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
という6つの基本的要素、あるいは、行動規範をどのように企業内で進捗しているか、ということだ。また、外部でその企業から独立した公認会計士や監査法人が、この内部統制報告書を証明する意味で、監査報告書を提出する。この内部統制については、財務計算に関する書類など、といった、ガイドラインや手続きが出ている。
法律なので、当然罰則があり、不正があった場合、5年以内の懲役、または、500万円以下の罰金、または両方。法人の違反行為の場合は、5億円以下の罰金だ。企業経営者は、これからはもっとたいへんだね。
さて、ITmedia なので、ITは内部統制にどう絡んでくるか。上記の6つの行動規範、それぞれに関連してくるが、ITの観点から言うと、ITは全社統制の中の、IT全般統制がITの受け持ちである。特に、IT業務処理統制が重要で、業務プロセスを的確に策定し、整備・評価・運用していく必要がある。
業務プロセスのフローをフローチャートにして「見える化」する。そしてそのプロセスについて不正のリスクを検討する。これを「文書化」と呼んでいる。まず、文書化をすることが、内部統制の第一歩。
さらに、不正を防ぐための「セキュリティ」を確率しなければならないが、セキュリティにとって重要なのが「セキュリティ・ポリシー」である。もちろんITの観点からいって、アクセス管理の仕組み(ユーザIDとパスワード)がここで重要になってくる。さらに重要なのが、必要な人が情報にアクセスし、必要のない人は情報にアクセスできないように、その人の職務によってアクセスする情報と役割を明確化することだ。
これを「職務の分掌」という。キーワードなので覚えておきましょう。この職務の分掌がちゃんとできているか、「職務分掌評価」という作業も必要だ。この場合、担当者の分掌によるアクセス権限だけでなく、と承認権限を持つものの明確化と適格性の評価も必要だ。
業務プロセスには、情報とプロセスのふたつの要素がある。情報へのアクセス権とプロセスの適格性である。情報にアクセスする権限付けが正しく出来ても、業務プロセスがいい加減であっては不正が発生する可能性を残す。たとえば、出庫命令が出る前に、倉庫から商品が出ては行けないけれど、そこがあやふやになっていては、困る。
さて、以上の事をITの対応という観点から、システム化し、実装し、運用を始めなければならない。日本では運良く、米国やヨーロッパなどの経験を学ぶ事ができる。
職務の分掌に伴う、情報への担当者のアクセス管理とアクセス権限を承認するところは「アイデンティティ管理」と呼ばれている。ユーザIDパスワードの管理は従業員の業務であり、それぞれのアプリケーションに対するアクセスを管理するのは、それぞれのアプリケーションだ。データベースには、それぞれアクセス管理をする機能が付いている。アイデンティティ管理は、その企業レベルでセキュリティ・ポリシーと職務分掌に従ったセキュリティの運用を実装・運用し、監査するためのシステムだ。
次に必要な業務プロセスの管理・運用だが、こちらは「ビジネス・プロセス管理」と呼ばれている。BPMとも呼ぶが、このBPMはSOAの中では重要な位置をしめる技術でもある。プロセスをBPELなどを使って「見える化」することができる。できれば、このBPMで作成したビジネス・プロセスのチャートと実際の業務アプリケーションが連携していて、BPM上で変更をすれば、業務プロセスが変わったり、新しい業務アプリケーションを追加したら、BPM側に反映されるのが、望ましい。
以上、「アイデンティティ管理」と「ビジネス・プロセス管理」は内部統制に関わる、中心的なソリューションだが、なんと、サン・マイクロシステムズは;
- アイデンティティ管理=「Sun Java System Identity Manager」
- ビジネス・プロセス管理=「Sun Java CAPS (Composite Application Platform Suite)」
と両方とも製品を持っている。
Sun Java System Identity Managerは、ガートナー社やフォレスター社といったアナリストの会社から業界のリーダーとの評価を受けている。日本でも、たぶん業界標準といえる。Sun Java CAPSは、BPMの機能とEAI の機能が精密に連携している、おそらく業界唯一の製品だ。つまり、BPMでの設定と実際の業務アプリケーションの連携が、製品によってサポートされていて、自動的にプロセスが稼働し、ログによる監査もできるのだ。たぶん他にはないんじゃないだろうか。
つまり、サンのこの2製品を使えば、内部統制のIT基盤を構築する事ができる。製品の導入よりも、どのようにこの製品を使うか、が、重要になってくる。コンサルタントの会社からSI の会社まで、多くのパートナーにも支えられている。
さて、宣伝はさておき。2009年3月から、この内部統制報告書を出さねばならないが、2009年の内部統制報告書の中身は2008年4月からの新年度の状況を報告するのだ。つまり、来年の4月から、始まってしまう。
どうするか、だが。まず、最初から全部をするのではなく、文書化を終了し、一番大切なシステムから「アイデンティティ管理」「ビジネス・プロセス管理」を一点集中して開始する事だ。おそらく、最初の年は、「重要な不備」と呼ばれる、評価に基づく改善点が出てくるので、これを次年度、その先に計画し、実行していく事だ。
内部統制は、いま、始まったばかりだが、永遠に終わらない。毎年、継続した改善が必要となる、企業の基本行動のひとつとなる。最初はなんでも大変だが、徐々になれてくるだろう。これからの経営者は、気合いと思いつきだけでは済まされない。緻密な管理と公正さ、透明性が必要とされるのだ。
古い型の経営は、あと数年で消え去ることだろう。