内部統制、実際のところどうするの?いよいよJ-SOX始動!(1/2 ページ)

J-SOX法対策に取り組む企業にとって、内部統制の運用負荷をどのように軽減していくかは悩みのタネだろう。内部統制の効率化について、いくつかの方法を紹介する。

» 2008年04月16日 18時00分 公開
[藤平忠史,ITmedia]

 2008年4月、「金融商品取引法(J-SOX法)」が施行され、これまで内部統制に向けて進めてきた企業の取り組みの真価が問われることになる。すでにさまざまなツールを実装し、本番に向けて予備監査を実施するなど、対応を本格化している企業も少なくないだろう。このような状況の中、コンプライアンス対応だけでなく財務報告に係る内部統制の整備・運用をいかに効率化していくか、またその先にある企業の付加価値を見据えた対応も重要なポイントになっている。そこで、J-SOX法の目的の1つである「業務の有効性と効率性」の対策を考えてみよう。

業務の有効性と効率性を実現するJ-SOX法対策のポイントとは?

 財務会計の信頼性の確保、ITを活用した適切かつ効率的な業務の運用に向けて、構築から運用フェーズへと移行を進め、年度末の報告書公表へ着々と準備を始めているだろう。

 J-SOX法対策を正しく機能させるためには、戦略や組織、方針にかかわる「ITガバナンス」をベースに、システムの開発、変更、外部委託などの「システム基盤統制」、アクセス制御や監視などを図る「システム処理統制」といった全社に関わる統制活動と、業務プロセスの統制を図る「業務処理統制」活動が必要になる。その仕組みのキーコントロールとなるのが「IT統制」である。ITは業務プロセスの可視化、自動化、高度化などにより、業務プロセスの改善、監視をサイクル化し、継続的なリスク軽減の実現に大きく貢献する。

IT統制の体系と対応する要件、機能

 現在、コンプライアンスへの対応、監査に通ることを目標に掲げている企業も少なくないが、J-SOX法は「財務報告の信頼性」を担保するだけのものではない。その先にある「業務の有効性と効率性」の確保が重要で、それに向けて維持管理が大切になってくる。そこで、J-SOX法の効率化に向けたポイントを検証していこう。

リスク管理がファーストステップ

 J-SOX法対策の起点となるのは、リスクがどこに潜んでいるかを知る「リスク管理」だ。いわゆる3点セット(業務フローチャート、業務記述書、リスクコントロールマトリクス)」が必要といわれる「文書化」も、このファーストステップにあたる作業である。業務プロセスの可視化、明確な基準を作成し、全社レベルから業務処理プロセスごとにリスクを洗い出すことにより、リスクの見える化を行うことができる。

 具体的には、「守るべき情報資産が何か」「自社にとってどの業務が止まることが大きな損失となるか」「リスクを回避するための対策は何か」といった、一連のリスク管理を行っていく必要があるが、例えば、情報資産については、企業にはOSやメーカー、使用年数が異なるPC関連機器が多数存在し、導入済みのソフトが同一メーカーでない場合も多い。また、本社、支店、工場など、機器が散在しているケースも多く、情報資産の洗い出しには時間も手間もかかる。

 そこで役立つのが「情報資産管理ツール」である。管理を自動化することにより、入社、退職、人事異動、組織改変にも柔軟に対応できる。散在する情報の一元化、システム停止など万が一の事態に対して迅速な対応をとることが可能だ。つまり、想定されるリスクを未然に防ぐことが、情報システムへの負荷軽減と継続的な運用につながると言える。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ