IT統制の不備改善に特化したサービスMBSDが米SOX対応への経験を生かしてテンプレート化

» 2008年04月01日 00時00分 公開
[大津心,@IT]

 三井物産セキュアディレクション(MBSD)は4月1日、従来から提供している内部統制支援サービスを強化し、IT統制の不備改善に特化したサービスメニュー「ITC-Express」を発表した。日本版SOX法の適用が始まる中、評価で判明した不備を迅速・適切に修正することに特化したサービスだ。

 2008年4月1日から、いよいよ日本版SOX法の適用が開始される。これにより、上場企業は従来決算時に発表していた「財務諸表」に加えて、「内部統制報告書」と「内部統制監査報告書」を提出しなければならなくなった。従って3月決算の企業であれば、2009年3月までに監査法人による内部統制監査を受けなければならない。このことから、各企業はその前までに評価および評価で指摘された不備を改善しなければならない。

 もし、不備をそのまま改善せずに監査に望むと、最悪の場合「内部統制に重要な欠陥あり」とされ、監査法人から「内部統制報告書に対する不適正意見」を表明されてしまい、株価低迷や社会的信頼の失墜につながる。しかし、三井物産セキュアディレクション 営業部 営業部長 東定治氏によると、「現状、多くの企業で文書化作業は終わっており、業務処理統制は進んでいるといえる。一方、IT統制については2007年10月〜12月時点において『一部着手』が46.1%、『ほとんど未着手』が5.5%と半分以上が不十分であり、遅れていると言わざるを得ない」と説明した。

東定氏写真 三井物産セキュアディレクション 営業部 営業部長 東定治氏

 そこで、MBSDではこれらのIT統制が遅れている企業に対して、評価テスターを派遣し、評価の手伝いを行っているほか、評価で不備が出た場合には、「不備内容の分析」から「課題抽出」「課題の優先順位付け」までを実施。さらに、不備を改善するサービスもあわせて提供する。

 不備改善サービスでは、OSやデータベースなどのアクセスログを分析してレポートにまとめる「ログレポート支援サービス」、開発・運用における変更管理などをサポートする「ITSMプロセス導入支援サービス」、全社的なIT統制自体を支援する「IT戦略策定支援サービス」、IT部分の規程整備などをサポートする「IT統制規程整備支援サービス」の4つのサービスをメインに提供する。

 東定氏の経験上、実際に改善の必要が多いのがログとIT規程の部分だという。ログ収集と分析に関しては、「粒度やその深さのどちらについても、いまだどこまでやればよいのか分からない企業が多い。暗中模索の状況だ。当社は、企業ごとに合ったログ収集に加えて、SOX法の監査に必要なレポートを提供できる点が強みだ。また、ITシステムに関しては規程がないケースがほとんどだ。当社はこれをテンプレート化しているので、それに当てはめるだけでかなり楽になるはずだ」と説明した。

 MBSDでは6月くらいまでは評価をする企業が多く、6月から10月にかけて評価で発見された不備を改善するフェイズに入ると予測。同社の親会社である三井物産が米国SOX法に対応した経験を生かし、米国SOX法の監査に通過したケースのノウハウをテンプレートとして提供することで、2008年4月からの1年間で5億円の売り上げを目指す。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ