内部統制との関連を書いていく。
Dドキュメント管理
企業には様々なドキュメントが存在する。
定款、株主名簿、端株原簿、社債原簿、登録簿
仕訳帳、総勘定元帳、現金出納帳、売掛帳、買掛帳、経費帳
注文書、契約書、送り状、領収書、見積書、提案書…
挙げればきりがない。
一昔前のオフィスを想像すると、
これらの文書類を保存しておくためのバインダーが棚に
整然と並んでいるイメージが浮かんでくる人もいるであろうが、
一部の企業では、ワークスタイルの変革、環境問題への配慮、
オフィスの移転などをきっかけとした、情報の「電子化」を進めている。
企業がコンプライアンス対応として
ドキュメント管理に注目するきっかけとなったのが、「e-文書法」だ。
この法令では、これまで紙による保管が義務付けられていた
財務や税制に関するドキュメントを電子データとして
保存することが可能になった。また、一部の情報については、
今から10年前に施行された「電子帳簿保存法」によって
電子データ化することが認められていたが、
e-文書法では、その対象文書類の種類が大幅に増えたことにより、
企業の対応に拍車がかかったようだ。
さらに、J-SOX法では、財務報告に関する内部統制の
有効性評価を保証するための報告書の作成が義務付けられ、
企業の内部統制を確実に実践するために、
重要な業務プロセスをドキュメント化することが必要になった。
さて、このドキュメントであるが、電子データとなった情報は
その中身が見えないという不可視性から、
その重要性、機密性を実感できない。
更には、複製や編集、持ち出しが容易に行えるということで
扱いには、紙媒体以上の適切な管理が重要となる。
管理が適切に行われていない場合は、情報漏洩、文書改ざんなどの
脅威により、企業に大きなダメージを与える要因となる。
データの管理に当たっては、そのライフサイクルを考えることが
重要で、その流れは一般的には、
作成→編集、更新→完成、保存→閲覧→廃棄という流れをたどる。
内部統制の観点から言えば、「データの完全性」が重要な
コントロールであるが、ライフサイクルのどのフェーズで、
誰がいつどの情報のアクセスして、どうのような編集を行ったか?
を管理することが重要となる。
EERP/財務関連システム
なぜ、ERP/財務関連システムを”セキュリティ対策”に挙げているか?
これはセキュリティ対策を分類してみることでわかる。
セキュリティ対策は基本的には
・物理的セキュリティ
・システム的セキュリティ
・管理的セキュリティ
・人的セキュリティ
に分類することができる。そしてシステム的セキュリティは
Firewall等のハード的な対策やアプリケーション機能としての
セキュリティ対策を考えることができる。
また、セキュリティの定義(機密性、完全性、可用性)を考える
アプリケーションレベルでのアクセスコントロールやデータの完全性チェック機能などは、立派なセキュリティ対策といえる。
さて、ここに分類されるアプリケーションのうちで
代表的なのは、ERPパッケージであるが、
その導入目的は、業務処理コストの削減はもちろん、
業務プロセスの革新、リアルタイムの業務状況把握
データの一元管理、意志決定のスピードアップ
また連結決算や管理会計への対応、などが挙げられていた。
しかしここにきて、ERPはJ-SOX法対策という側面から
注目を集めるようになってきている。
その理由は、今日の企業では、財務諸表を作成するまでの
業務プロセスに、ITの利用は欠かせないからだ。
それは、一部の大企業だけでなく、中堅企業以下、
中小企業にもERPパッケージの導入率が高まっていることや
ERPならずとも、様々な会計ソフトやアプリケーションが
導入されていることから容易に想像できる。
ERPを含むアプリケーションのセキュリティの基本要素は
入力統制(入力データの正確性を保証すること)、
処理統制(処理の正確性を保証するもの)
出力統制(アウトプットの正確性を保証すること)
の3つで実現される。
ERPパッケージの実際の統制機能としては、
事前定義された勘定科目による自動仕訳や、与信限度額や
取引許容範囲を設定した入力項目のチェック、
ワークフロー管理による処理の承認機能などが、これにあたる。
これらの統制は決して、ERPの統制機能でなくてはならないわけではない。
しかしながら、その処理の多さ、
コントロールレベルの均一性確保の困難さ
ミスや不正によるコントロールが適切に行われないリスクなどを
考えると、”IT”を利用したほうが効率的である。
更に、設定してコントロールが、要件どおりに
正当かつ完全に動くことを保証することができる。
Fサーバ、ネットワーク管理
最後は、インフラの管理である。
システムはインフラなくしては利用できない。
ただしサーバー、ネットワークを中心としたインフラの構成要素が
適切に管理されてなければ、障害や不正を容易に発生させてしまう。
ここでいう適切な管理とは、サーバ、ネットワークの運用に焦点を当てている。
インフラは一度構築したら終わりでなく、業務要件にしたがって
柔軟に変化する。その変化は、いつだれがどのような理由で行ったか
といった、変更履歴を記録していく必要がある。
当然、しかるべき権限を有している者が、その変更を許可し、
作業を実施させることが重要である。
またその一連のプロセスがモニタリングされ、
後でチェックできるような状態までが、インフラの管理であり、
これらの管理を実行、維持することで、安全性を証明することができる。
以上、7つの分野でのセキュリティ対策について
内部統制との関連性を書いてみた。
企業はこれまで、セキュリティ対策として様々な投資を
行ってきたはずだ。
セキュリティ対策の本質がわかれば、
内部統制、J-SOX法対策といった言葉に惑わされて、
また新たな投資をする必要性はそう高くない。
これまで実施してきたセキュリティ対策を有効、有用に活用して
企業の内部統制の仕組みを整備していっていただきたい。
これまでの3回の内容を資料にまとめています。
自社の内部統制対策について、お役立てください。
サンプルはこちらからダウンロードできます。
security for SOXについての資料購入はこちらから↓
押っ忍!!会社で使えるシリーズ10 「security for SOX」
| 
