5分で絶対に分かるSOX法と内部統制の違い：5分で絶対に分かる（5/6 ページ）

[大津心，＠IT]

4分−内部統制の違う切り口

　内部統制には、「広義の内部統制」と「狭義の内部統制」があることが分かりました。この考え方は、内部統制を理解する上で役に立ったと思います。また、これとは別に内部統制を実際に実施していく上で役に立つのが「予防的統制」と「発見的統制」という切り口です。

　予防的統制とは、不正などが起きないように前もって行っておく施策です。代表的なものには、ユーザーのIDを管理することで権限などを管理できる「ID管理製品」や、業務に必要のないと思われるWebサイトへのアクセスをブロックできる「URLフィルタリングソフト」などが挙げられます。一方、発見的統制とは不正が発覚した後に備えた施策で、一般的にはログを中心にした仕組みが活用されます。

　予防的統制は「統制＝コントロール」や「抑止力」として効果があり、発見的統制には「証拠」としての役割が期待できます。

図2：予防的統制と発見的統制の役割

　例えば、予防的統制としてクライアント管理ソフトを導入すれば、社員がWinnyなどを勝手にインストールして情報漏えいやウイルス感染するリスクを回避できます。

　また、ログをきちんと管理していれば、もし不正が起きた場合に、事後にログをトレースすることで犯人の特定が可能になります。これは、「会社ぐるみではない」「身の潔白」を証明するための証拠にもなるのです。