2007年2月15日,内部統制の「基準」と「実施基準」が金融庁から正式に公開された。対象となる勘定科目を売上高,売掛金,棚卸資産に限定するなど,米SOX法に比べて対応範囲がより合理化されている。
企業はこの「基準」と「実施基準」に基づき,いわゆる日本版SOX法への対応を進めている。2008年4月の施行を約1年後に控えた現在,文書化をはじめとする内部統制の整備に重点が置かれがちだ。しかし,企業にとってより大きな課題となるのは,整備の次のフェーズであるとサン・マイクロシステムズ株式会社ビジネスガバナンスプロジェクトの統括責任者である野々上仁氏は強調する。
同氏は続けて「確かに文書化は最初の関門だが,大きな対応は一度だけで済む。その後継続的に実施しなければならない有効性の評価・改善・証明こそ,永続的な負担。評価・改善・証明の負荷とリスクの軽減,及びコスト削減をいかに達成するかが大切だ」と語る。
ビジネスとITが密接に結びついた現在,内部統制を効果的かつ効率的に推進するには,IT活用は欠かせない。野々上氏は内部統制におけるIT活用の原則について,「内部統制の整備段階から評価・改善・証明を考慮し,最適なIT環境を構築すべき。そのためには,トップダウンリスクアプローチに(1)「自動化」,(2)「集中化」,(3)「標準化」を加味することがポイントだ」と説明する。
そして,内部統制における業務アプリケーションやIT基盤では,職務分掌,アクセス管理,変更管理,記録保存の4つが特に重要な要素だが,(1)〜(3)それぞれアプローチで,この4つを効率的に実現することが,内部統制の有効性を継続的に評価,改善,証明していく鍵を握る。
サン・マイクロシステムズは,自身が米SOX法に対応してきた実績を持つ。その中で得てきた内部統制におけるIT活用の経験則が,「不正やミスなど業務上のリスクは,人手による管理の限界を超えた時に増大する。管理の限界は,管理対象の数や複雑さという内部要因と,変化という外部要因により引き起こされる」(野々上氏)というわけだ。
同社はこれら蓄積したノウハウを活かし,顧客に内部統制ソリューションを提供する。(1)「自動化」,(2)「集中化」,(3)「標準化」をキーワードに,職務分掌とアクセス管理,変更管理,記録保存等を効率的に実現するIT環境を具現化する。
(1)の「自動化」の代表的なソリューションがアイデンティティ管理システムだ。組織の変化をタイムリーに反映させ,職務分掌を徹底し,適切なアクセス管理を可能とするアイデンティティ管理は,大規模な組織になるほど属人的な手法では困難になる。
「当社のアイデンティティ管理統合ソフトウェア『Sun Java Identity Management Suite』によって,利用者権限の設定と存在する権限の検証を自動化できる。組織の拡大やダイナミックな変更に対しても,職務分掌の徹底と適切なアクセス管理が少ない負荷で継続的に行える」(野々上氏)。Sun Java Identity Management Suiteは,「Identity Manager」,「Access Manger」,「Directory Server Enterprise Edition」の3製品で構成されるが,例えばIdentity Managerには,監査機能により監査レポートを自動生成する機能があり,「職務分掌」がポリシー通りに運用されているかなども容易にチェックできる。
M&Aや雇用の多様化がさらに進むと予測される今後は,アイデンティティ管理の自動化の重要性はますます高まるだろう。
他にも,ビジネスプロセス間の統制を自動化することで,人的リスクとコントロール負荷を軽減する「Sun Java Composite Application Platform Suite 」や,保護義務書類や監査調書などの記録保存を自動化する「Sun Compliance & Content Management Solution」といったソリューションによって統制活動を支援する。
(2)の「集中化」は具体的には,システム基盤の連携・統合になる。一般的には,例えば商品販売では受注システムや在庫管理システムや会計システムなどが利用されるように,1つのビジネスプロセスが複数のシステムにまたがって実行されるケースが多い。
その際,各システムが連動していないと,人手によるデータの受け渡しや整合性チェックが必要となる。また,システム基盤が統合されていないと,基盤ごとに管理が必要となる。野々上氏は「分断されたシステムの数に比例して,リスクや負荷やコストが増大します。システム基盤の連携・統合による属人性と複雑性の排除が,リスクや負荷やコスト削減の近道です」と指摘する。
サン・マイクロシステムズ自身は「Integrated Business Information Solution」プロジェクトにて,システム基盤の連携・統合を実践中。その過程で得たノウハウを顧客へのソリューションに展開する。
(3)の「標準化」は,ITガバナンスの効果的・効率的な構築に有効である。業界標準フレームワークの採用によって,ITプロセスを標準化することで属人性や複雑性を排除し,よりリスクや負荷の少ない構成管理や変更管理などを実現する。
サン・マイクロシステムズ自身は,コントロール対象の策定をCOBITで網羅し,コントロール方法の策定にはITIL(IT Infrastructure Library)やCMMやPrince2などを利用している。目的に応じて各種ベストプラクティスを適宜使い分け,ITプロセスを標準化した。その経験を活かし,顧客に対してITILベースの標準化支援サービスを提供している。
現在,M&Aによる業界再編や経済のグローバル化をはじめとする変化が激さを増す中,今後生き残るためには,企業経営に変化の活用力が求められる。野々上氏は「『変化の活用力 × ガバナンスの徹底 = 競争力』と考えている」と語る。
内部統制への取り組みは,日本版SOX法への対応だけにとどまらず,業務プロセスの可視化や最適化などによるビジネス強化にも直結すると認識して進めるべきであろう。そして,内部統制のIT環境構築の際は,内部統制のための要素に加えて,変化への強さも内包させ,競争力強化も同時に果たすことが望まれる。
サン・マイクロシステムズの内部統制ソリューションはそのような視点の元,ガバナンスの徹底と共に変化の活用力をもたらし,競争力強化に寄与する。
「人やプロセスや情報といった変化の対象となる経営資源のシームレスかつ動的な管理を可能とする。また,あらゆるシステム環境に対して高い接続性・拡張性や,企業を超えた業務連携を支援するフェデレーション機能を提供する。これらのソリューションを通じて,変化への強さを実現する」(野々上氏)。
同ソリューションは,業務活動を支える堅牢性や信頼性も確保する。シンクライアント・システムの「Sun Ray」などによってセキュアなシステムプラットフォームを構築し,ディザスタリカバリなどのソリューションでビジネス継続性を高める。
このようにサン・マイクロシステムズの内部統制ソリューションは(1)「自動化」,(2)「集中化」,(3)「標準化」を柱に,内部要因のコントロールによってリスクや負荷を削減し,効果的・効率的な内部統制の評価・改善を強力にサポートする。合わせて,変化という外部要因への適応力を提供することで,競争力強化に貢献する。
Sunの内部統制ソリューション
変化の活用力×ガバナンスの徹底=企業競争力
アイデンティティ管理完全バイヤーズ・ガイド
今日のビジネスとセキュリティの緊急ニーズに対応する,適切なソリューションを評価および選択するための詳細情報と有用ツール
プロビジョニングとアイデンティティ監査の一本化
費用効果の高いコンプライアンスとコラボレーションへの鍵ホワイトペーパ
