図3●過剰な対策はいらない 他の目的と重複する対策もあるが、J-SOXで必要なのは「決算の正しさ」だけ [画像のクリックで拡大表示] |
セキュリティやストレージなど、J-SOXではITインフラ回りのシステム需要に対する期待が大きい。しかし先行企業や監査人の指摘から、J-SOXで必要な商材とあまり関係がない商材が分かってきた。例えば「情報漏洩対策は、J-SOXに関係がない」。これが三つ目の真常識だ。
システムの情報セキュリティ体制は、J-SOXで必ず監査が入る重要ポイント。しかし清水惠子公認会計士は「従来のセキュリティ対策に引きずられ、J-SOXの求める内容が誤解される風潮がある」と指摘する。
その典型例が、「決算にかかわる企業の重要データは暗号化すべきか」という企業の疑問。トーマツ企業リスク研究所の久保所長は「情報漏洩防止が目的なら、J-SOXとは関係がない」と言い切る。
J-SOXでは、決算の正しさを担保する統制までしか求めていない(図3)。セキュリティのレベルでは「アクセス管理」、具体的には「権限がない社員によるデータ操作や不正な改ざんの防止」(久保所長)が確保されていればよいという。
もちろん暗号化も、場面に応じて使えば有効なソリューションになる。例えば「業務システム間で受け渡す中間ファイルなど、アクセス管理ができていないデータの改ざん防止なら有効」(新日本監査法人の榊代表社員)である。
久保所長は「監査人から見て、関係が薄いと思える『J-SOX対応製品』は少なくない。しかし対策に必要なIT製品、作業を効率化できるIT製品はある」と指摘する。
J-SOXではセキュリティに加えて、「開発」「運用」などの管理体制も監査される。セキュリティと同様に、監査人が見るポイントはある程度決まっている。ユーザー企業の目的や優先順位を意識して、ふさわしい商材を活用してソリューションを提供する力が求められる。
電子メールは監査しない
例えば、メールアーカイブはJ-SOX向けに限れば急いで提案する必要はない。「重要な勘定科目の取引をメールで扱っていない限り、監査の対象にはならない」(榊代表社員)からだ。もちろん日興コーディアル証券やライブドアなど、粉飾決算事件で電子メールが調査対象になった例もある。しかし全社的な内部統制に問題がなければ、監査人が電子メールの保存を求めることはないという。
データの改ざん防止策も、過剰に考える必要はなさそうだ。「通常は、業務システムのデータベースが備えるアクセス管理が正しく運用されていれば十分」(榊代表社員)と考える。
ストレージも、新たな対策が必要な場面は限られそうだ。トーマツ企業リスク研究所の久保所長は、「J-SOXのためにデータの保存範囲を広げる必要はない。決算の監査に必要な年間の取引データでよい」と指摘する。既に基幹業務システムの2重化やデータのバックアップは、大半の企業が日常業務の維持のために取り組んでいるため、「現在実行されている対策でも十分と考えられる」(榊代表社員)。