求められる、内部統制を最適化・効率化する具体策:内部統制報告制度(J-SOX)対応も、構築から運用へ
内部統制報告制度(いわゆる「J-SOX法」)によって求められる内部統制の“2年目”に差し掛かり、構築から運用へと比重が移ってきた。単に構築するだけでなく、運用・評価、そして改善を繰り返すことで企業活動を健全化していくといった考え方も含まれている内部統制だが、その運用の最適化・効率化こそが、企業にとっては重要になる。
この10月で、金融商品取引法の施行から丸2年が経過した。同法の中では、日本の上場企業などに対し「財務報告に係る内部統制の評価と監査」が求められており、日本より一足先に米国で制定された同種の法律に由来して「日本版SOX法」あるいは「J-SOX法」などと呼ばれていることは、周知のことだろう。
このJ-SOX法に基づく内部統制は、2008年4月1日以降に開始する事業年度から実施することが求められていた。すなわち、対象となる企業の多くは現在、内部統制の“2年目”に差し掛かっているはずである。何はともあれ内部統制の整備に追われた1年目に対し、それを推進すべき2年目以降では、どこに重点を置くべきなのか。そして、内部統制の負担を、どのようにして軽減していくのか――。
こうした課題を検討すべく、サン・マイクロシステムズ株式会社(以下、サン)主催のセミナー、「監査人が語る内部統制の最適化 〜アクセス管理の自動化による効率的なJ-SOX2年目対応〜」が、9月17日に青山ダイヤモンドホールにて開催された。
運用の最適化・効率化には予防的コントロール強化とIT活用が有効
デロイト トーマツ リスクサービス「これまでの活動を振り返ってみると、やりすぎたと感じている企業も多いのではないか」と話すのは、デロイト トーマツ リスクサービス株式会社 パートナーの丸山満彦氏。「内部統制報告制度2年目からの課題」と題したセッションで、内部統制の最適化について解説した。
1年目は、負担を感じながらも効率化を後回しにして内部統制報告制度(J-SOX)に取り組んできたのではないだろうか。
「2年目は、基準など制度面での大きな変更はないと考えられる。そのため、業務に大きな変更がない限り、制度対応のための作業は基本的に1年目も2年目も大きく変わらない。1年目では制度の理解や体制構築、文書化に多くの時間を割いたが、2年目以降では、運用状況の評価の比重が高まることになり、運用状況の評価の効率化が課題となる」(丸山氏)
運用状況の評価を効率化していかねば、今後も苦労が続くことになる。また、内部統制というのはPDCAサイクルで成り立っており、運用・評価し継続的に改善を繰り返すことが重要な取り組みでもある。すなわち2年目は、その運用を確実なものとし、その後につなげることが重要だ。
「2年目の課題は、『業務の確実性の向上』と『運用状況の評価の効率化』である。業務の確実性を向上させるためには、予防的コントロールの強化が重要となる。製造業の品質管理と財務報告に係る内部統制は似ているところがある。適切な財務報告の作成には、予防的なコントロールにより適正な情報が処理できるようにするほうが、後工程でミスを発見するよりも効率的である」(丸山氏)
運用状況の評価について丸山氏は、検証に要する時間を、[(1)評価対象の業務プロセス数]×[(2)プロセスあたりの評価対象コントロール数]×[(3)コントロールあたりのサンプル数]×[(4)サンプルあたりの検証時間]と表した上で、次のような改善策を示した。
「(1)から(3)については、業務プロセスやコントロールの標準化・共通化・自動化、キーコントロールへの集中などによって減らすことが可能だ。(4)はITを活用し統制を自動化することで短縮できる。例えばアクセス権の評価は、システムごとにバラバラであれば、各システムについて評価しなければならないが、全体を統合すれば複数のシステムであっても1つの評価単位ととらえることができるのでサンプル数を減少させることができる。またITを利用して統制を自動化すれば、確実な運用ができ、かつ、評価のためのサンプル数も削減することが可能」(丸山氏)
完全に自動化され、人手を介在させずに管理されていることが確実であれば、ミスや不正が入り込む余地が少ないと仮定してサンプル数を削減できる。自動化は、効率化と同時に確実性の向上にもつながる。
「人間が得意な分野と、コンピュータが得意な分野というものがある。コンピュータが得意な部分はコンピュータに任せ、人間は人間らしい仕事をするのが望ましい」(丸山氏)
3社のID管理導入事例からみる効果と注意点
伊藤忠テクノソリューションズ丸山氏が内部統制運用への対策の例に挙げた、アクセス権管理の自動化とは具体的にはどのようなものか。続くセッション「CTCにおけるSun Identity Manager事例とIDM導入の勘所」では、伊藤忠テクノソリューションズ(以下、CTC) ITエンジニアリング室 ミドルウェア技術部 部長代行兼IDマネジメント技術課長の稲吉英宗氏が、導入の流れや効果について、CTCの自社導入事例と、株式会社TBSテレビ、某大学の、3つの事例を紹介した。
CTCでは、アカウント情報をシステムごとに異なる形式のCSVファイルで転送していたが、統合ID管理システム、統合ディレクトリ、シングルサインオン(SSO)システムによって統合認証基盤を構築した。アカウント情報を一括でメンテナンスできるようになり、特に退職者アカウントの即時停止や組織改編時などの運用負荷が軽減された。パスワードポリシーの徹底や、必要なアカウント情報のみ配信されるためセキュリティも向上。パスワードリセットをセルフサービス化したり、SSOを実現したりすることで、ユーザーへのサービスも向上したという。なお、CTCにおけるID管理の導入はJ-SOX法以前に行われたものだったが、この統合認証基盤のおかげでJ-SOX法対応も順調に進んだとのことだ。
「当社はサンのソリューションを用いて統合認証基盤を構築している。その中核となる統合ID管理システムがSun Identity Manager(以下、Sun IDM)。Sun IDMは、他社のID管理システムにない『マッピング型アーキテクチャ』が特徴で、連携対象システムの追加が容易に行える。また、発見的統制、予防的統制の機能が豊富で、監査にも有効だ」(稲吉氏)
TBSテレビや某大学でも、やはりSun IDMを中心とした統合認証基盤の構築によって、管理コストの削減やアクセス権限設定の迅速な反映が可能になった。ちなみに、Sun IDMは社員のみが課金されるライセンス体系となっており、社外スタッフの多いTBSテレビでは導入コストも抑えられている。某大学でも、学生を含めれば1万人あまりのユーザー数となるが、Sun IDMでは約600人の教職員のみが課金対象となり、コスト抑制に大きく寄与しているという。
こうした統合認証基盤の構築は、一般的なシステム開発の進め方と根本的に違いがあるわけではない。しかし、IDMならではの苦労を伴うことが多いと稲吉氏は指摘する。
「『1回入れれば終わり』というわけではなく、追加・修正の繰り返しが必ず発生する。接続先が増えるたびに同じプロセスを繰り返さねばならず、かつ接続先システムとの調整に多くの時間が費やされる。特に設計までのスケジュールには余裕を持って取り組んでほしい。ID管理プロジェクトとは、IDに関する運用の再構築にほかならず、現状調査や設計に多大な労力が必要になる。また、IDMを推進していくにあたり、それぞれ別々の担当者がいることの多い接続先システムとの調整には特に強いリーダーシップが求められる」(稲吉氏)
企業内にある誤謬・不正の『機会』を減らすSoDの取り組み
監査法人トーマツ内部統制報告制度(J-SOX)を端的に表現すれば、企業内の財務決算・報告プロセスにおける誤謬や不正のリスクを低減するための内部統制を経営者が整備、運用し、そして評価するための仕組みである。財務決算だけでなく広範な業務プロセスにおいて起こりうる不正の発生メカニズムに着目した対策を、有限責任監査法人トーマツ シニア・マネジャーの矢部誠氏は、「ロール管理/アイデンティティ管理の自動化に向けた評価サービスのご紹介」と題したセッションで紹介した。
「不正は『動機』『機会』『正当化』の3要素が、不正の実施者に同時に存在した場合に発生する。このうち、『動機』や『正当化』については、人間の心理に関わる部分なのでコントロールは難しいが、『機会』は、内部統制の強化によって減らすことが可能だ」と矢部氏は話す。
実際、業務プロセスやシステムの不備、不適切な利用が不正を許してしまうケースは多い。例えばシステムやプロセス上で、特定の個人に過大な権限が与えられている場合、その人物に『動機』があって『正当化』する口実を持っているならば、3つ目の要素である『機会』を与えてしまいかねないのである。
『機会』を減らす重要な対策として矢部氏が紹介するのは、「職務分掌(SoD:Segregation of Duties)」である。例えば、取引や伝票の入力担当者とは別の者が確認や承認をする、といった具合に、職責を複数の従業員に分離して相互に牽制する形とし、不正やミスの発生するリスクを軽減する手法である。
SoDは多くの企業で日常的に行われていることではあるが、きちんと実現できていないケースがあるのが実態だ。SoDの不備が不正を生じさせ、刑事事件に発展することや、上場企業においては、結果的に内部統制上の重要な欠陥とされることも、少なくない。
昨今は、これまで書類によって行われてきた回覧や承認の手続きが、業務の自動化やシステム化が進む中で、システム上の機能として実現されるようになっているが、書類で実施されてきたほど、明確な職務の分離がシステム上で行われていないケースが散見される。これらが会計監査に限らず、内部監査部門による情報セキュリティ、個人情報保護など様々なテーマでの内部監査で指摘されることも多い。これはシステムにおける権限の設定や付与といった内部統制が手作業で行われる確認承認に比べ複雑であり、見えにくいことが主な原因と考えられる。そのため、システム上の権限を組織内の役職や業務内容などの役割ごとにまとめた「ロール」によって管理し、その付与や削除といったプロセスを適切に運用することが効率的・有効な施策だと矢部氏は説明する。
トーマツでは、企業がSoDを確立しているかどうかを評価する「職務分掌評価(SoDA:SoD Assessment)サービス」を手掛けている。矢部氏によれば、SoDAにおいては企業の情報システムにおけるロール管理に注目して評価しており、SoDAを通じて評価対象企業のアクセス管理の成熟度を調査しているという。
「ITは職務分掌を確立するのに有効であり、中でもロール管理は重要なファクター。SoDAではアクセス管理の整備状況、実装状況、運用状況を評価している。このうち実装・運用状況の評価に関してはサンの協力を得て、Sun Role Managerを用いたアクセス管理評価を実施している」(矢部氏)
ID基盤を補強し、効果的なSoD確立に役立つロール管理
SoDAでは、整備状況を調査した上で対象とする業務プロセスやシステムを絞り込み、Sun Role Managerを用いた評価を行っていくという。評価範囲を限定することで評価を低コスト・短期間に完了させられるのが特徴だ。矢部氏によれば、このようにスコープを絞った調査でも、全社的に共通した課題が見えてくるという。ロール管理はシステムや部門ごとに手法や手続きが異なることが多いが、ロール管理上の課題は企業文化を反映したシステム運用やアクセス管理が影響を与えることも多いため、全体を改善するための検討材料が得られるのだ。
「ツールで改善できること、ツールの導入以前に改善すべきことが明確になる。アクセス管理の最適化は、さまざまな組織要因で阻害されるものであり、技術を活用するだけでなく体制面や(倫理観などの)心理面、すなわち『心技体』の3つをバランス良く実施していくことが重要」(矢部氏)
サン・マイクロシステムズこのように、内部統制の観点からSoDが注目されるようになり、SoDを支えるロール管理製品の市場も拡大している。サン ソフトウェア事業本部 システム技術部 シニアシステムエンジニアの守屋聡氏は、「ロール管理のビジネスニーズおよびSun Role Managerの機能/事例のご紹介」と題したセッションの中で、「ロール管理は新しいものではなく、米国では主にSOX法対策として数年前から使われるようになってきた。まだ現状の市場規模は小さいが、2007年から2008年にかけて70〜90%の成長率だったという調査もある」と説明した。
Sun Role Managerは、Sun IDMなどID管理製品と連携してアカウントや権限に関する情報を一元的に管理する「Identity Warehouse」を備え、それをベースにさまざまな監査を行う豊富なレポート機能や、役職や業務内容に応じた権限を「ロール」として設定する機能を持っている。ロールの設定に関しては、人事情報に基づいた「トップダウン」のロール定義だけでなく、現状すでに割り当てられている権限をマイニングして定義していく「ボトムアップ」のアプローチも可能で、現実の複雑なビジネス環境に柔軟に対応できるという。
「統合ID管理基盤を導入している企業は多いが、アカウント名とパスワードだけの管理では、その効率化や統制の効果が限られてしまいがち」と守屋氏は指摘する。エンタープライズロール管理は、ID管理の面からコンプライアンスを実現すると同時に、ID管理との連携によって、アクセス権限を含めたIDライフサイクル管理を効率化し運用コストの抑制にも寄与するのだと語った。
|
Copyright © ITmedia, Inc. All Rights Reserved.
提供:サン・マイクロシステムズ株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2009年11月18日
ITmediaはアイティメディア株式会社の登録商標です。