2008年4月、金融商品取引法（J-SOX法）が施行された。しかし、企業の対応は、当初の計画ほど順調には進んでいないようだ。そこで、J-SOX法に対応した内部統制のコンサルティング実績100社以上、システム提供を入れるとその数倍以上の提供実績のある富士通で、多くの顧客に接してきた富士通総研 第三コンサルティング本部 内部統制事業部 シニアマネジングコンサルタント 佐藤研氏に、各企業が推進する内部統制の実態とこれから企業が行うべき対応について話を聞いた。

　2008年4月のJ-SOX法施行に向けて、各社ともここ2〜3年の間、プロジェクトを進めてきた。監査法人トーマツが2007年12月から2008年1月末にかけて行った調査を、同社が2006年に行った調査と比べてみても、その間に大きく進捗したことがわかる（図1）。

　とはいえJ-SOX法の施行を目前に控えたこの時期で、「ほぼ対応済み」が6％、「文書化・評価を実施」が14％というのは、かなり心許ない数字だ。評価にまで至らない「文書化を実施」と、それ以前の「対応準備段階」を合わせると半数を超える実態は、かなり進捗が遅れ気味であることを物語っている。

株式会社富士通総研（FRI） 第三コンサルティング本部 内部統制事業部 シニアマネジングコンサルタント 佐藤 研 氏

　実際現場をよく知る佐藤氏も、「全体にプロジェクトは遅れ気味で、今現在でも評価や不備改善の真っ最中という企業も少なくありません」と語っている。

　しかも、不備改善の必要な項目が数百にのぼる企業も多く、各社ともどこから手をつけたらいいのか悩んでるのが現状という。佐藤氏は、「たとえば、A社では800もの不備項目が見つかりました。そのうち全社や業務プロセスにかかわる項目が200項目程度で、IT関連の不備が全体の3/4を占める約600項目にものぼりました。プロセスに注力した結果ITが後回しになった形です。またB社では、不備項目は約300項目で、全社や業務プロセスにかかわる項目が全体の8割以上の約250項目、IT全般にかかわる不備項目が約50項目でした。A社に比べれば少ないですが、それでも50項目もあります。それもITに関する不備がなかったというよりは、より重要な全社レベルや業務プロセスを最優先で取り組む必要があり、ITは後回しになっただけなのです」と語っている。

　佐藤氏が語るB社についても、IT化を後回しにしただけで改善の必要性がないわけではない。継続的に内部統制を行っていくためには、手作業では限界があり、IT化は避けて通れない。2008年度中の整備を目指し、今まさに急ピッチで評価や不備改善を押し進めているところなのだ（図2）。

　とはいえ、そもそも内部統制に関してITシステムとして評価すべき項目は、極めて広範で、取り組み項目も多い。開発や運用などシステム部門の統制から、ID/パスワード管理やログ管理などユーザーを含めたアクセス管理まで、さまざまな統制にITが必要となる。

　実際これだけの項目は、単年度ですべて対処できるというようなものではない、と佐藤氏は指摘する。「米国でSOX法が施行された際も、IT投資は初年度よりも2、3年後に増えたという調査結果が出ており、むしろこれからが正念場と言えます。不備項目を改善すると共に、準備が整ったらまず1年間運用してみて、そこでまた見直しや増強をするというように、これから数年かけて段階的に取り組む必要があるでしょう」

　やはり、その際は、より効果的で重要な項目から手をつけたいと、誰しも考えるはずだ。佐藤氏はその項目として、「アクセス管理を中心としたセキュリティが最優先」と言う。「当社が100社を超える企業の内部統制強化を支援してきた事例を整理したところ、セキュリティ関連（44％）、運用/変更/構成管理といった運用に関わる項目（24％）に特に改善項目が多いということがわかりました」と佐藤氏は語っている。

　具体的にその内容を分析すると、セキュリティに関しては、“ID発行手続き”、“特権IDの利用手続き”、“特権処理に関するログのレビュー”などの運用ルールの不徹底や統制の脆弱性が指摘されており、これらに対する統制の強化が最優先課題と言える。

　一方の運用/変更/構成管理は、システムの変更管理やバックアップ管理、ジョブ管理といった特権IDによる作業が該当する。これらの作業はシステムの根幹に関わるものであり、作業で使用する特権IDの管理にとどまらず、作業の申請手続きや操作ログの取得とそのレビューによる作業結果の確認など、運用管理を強化することが必要だ。

　そこで、富士通は、まず優先的に行うべき管理項目として以下の4つを推奨する。

-セキュリティ管理（ID管理/証跡管理）
・ID管理の徹底
　サーバやアプリケーションへのアクセスなど、権限に応じたアクセス管理を確実に行うためには、IDと利用者を紐づけた「ID台帳」を日ごろから維持・管理しなければならない。最終的には人事マスタと連携したID管理の自動化が望ましい。
・レビューすべきログの洗い出し
　ログを取得してもレビューを実施しなければ不正がないことを証明できないが、すべてのログを対象にしては、レビューに時間がかかりすぎ現実的ではない。不正防止効果があり、現実に運用できる統制とするには、ログの取得範囲の絞り込みとレビュー方法の吟味が必要。

-バックアップ管理・ジョブ管理
　統制を確実に行うためには、運用の自動化（標準化）、統制のモニタリングとともに職務分掌が必要。運用にあたっても、操作ミスや不正操作を許さない自動化が望まれる。

-変更管理
　プログラムやシステム構成の変更においては、きちんとした承認を経て申請通りに変更作業が実施されたかを検証できることが必要となる。このためには、「規定された承認者以外は承認できない」、「申請〜承認の履歴が記録されている」、「申請内容と結果がログなどで照合できること」が望まれる。

-資産管理
　内部統制を行うためには、必要なIT資産を効率的に把握し、正しい状態を維持しなければならない。確実にIT資産を把握するためには、情報の自動的な収集と管理が望ましい。

　上記の4つは、不備改善の指摘が多く短期的に対応すべき課題としてとりあげた。

　さらに、より統制のレベルを向上させ、効率の良い運用を行っていくためには、中・長期的に段階的取り組みが必要である。その際にはIT全般統制の対応だけではなく、運用の効率化も視野に、全体最適による確実な運用と効率的な運用を目指して、標準化やサーバ・ストレージの統合などを行っていくことをおすすめする。

　これを現実のものとするため、富士通は全社をあげてサポート。文書化支援から不備改善のためのコンサルティング、ITソリューション、教育・研修サービスまでを体系化した内部統制強化支援ソリューション「Internal Eyes（インターナル アイズ）」を提供しており、顧客の迅速かつ的確なソリューション導入を支援している。

　次回からは、優先的に行うべき上記4つの管理を具体的に紹介。それらを実現する統合運用管理ソフトウェア「Systemwalker」を中心に解説していく。