内部統制のリスク対策の検討は始めていますか？

～内部統制時代を支えるミドルウェア～

エンロンやワールドコムに代表される不正会計事件が相次ぎ、2002年にアメリカでSOX法が制定されました。日本でも同様の企業不祥事が相次ぎ、それを背景にして、2005年には会社法が成立し、2006年6月に金融商品取引法（通称：日本版SOX法）が成立しました。そして、2008年4月1日以降に始まる会計年度より、上場企業およびその連結子会社に対し、内部統制報告書の提出と監査が義務付けられました。そして、その内部統制にあたっては「ITによる内部統制への対応」が求められています。

[2007年3月2日掲載]

3月28日開催内部統制セミナーの一部をデモ映像で公開中

内部統制におけるIT統制とは？

一口に「内部統制が必要だ」と言っても、一体どこからどのように着手していけばよいのか・・・。内部統制に関して、お客様が抱える悩みや課題の多くは、以下の3点のうちのいずれかではないでしょうか。

(1) そもそも、どこからどう取り組めばいいのか分からない
(2) 業務プロセスを明確化・最適化するための仕組みを作りたい
(3) セキュリティやシステム運用面での内部統制を強化したい

(1)については、それぞれの統制に対して、リスクを洗い出し、それらをいかに統制しているかを明確化することから始めていきます。内部統制の整備と運用状況の評価を行うには、RCM（Risk Control Matrix）という表で整理することが有効とされています。このような図表化を行うことで、リスクに対する対応状況を一目で把握・確認し、要件を定義することができます。（図1）

業務	リスクの内容	統制の内容	要件						評価	評価内容
業務	リスクの内容	統制の内容	実在性	網羅性	権利と義務の帰属	評価の妥当性	期間配分の適切性	表示の妥当性	評価	評価内容
受注	受注入力の金額を誤る	注文請書、出荷指図書は、販売部門の入力担当者により注文書と照合される。全ての注文書と出荷指図書は、販売責任者の承認を受けている
受注	与信限度額を超過した受注を受ける	受注入力は、得意先マスタに登録されている得意先からの注文のみ入力できる
・・・

[図1] リスクと統制の対応（RCM例）

出典：財務報告に係る内部統制の評価及び監査に関する実施基準 - 公開草案 - 金融庁

(2)と(3)はITが関わってきます。経済産業省が公表した、「コーポレートガバナンス及びリスク管理・内部統制に関する開示・評価の枠組みについての指針」では、企業が自主的に内部統制システムの構築に取り組むための指針を示しています。また、金融商品取引法（日本版SOX法）の施行にあたり、金融庁が示した「実施基準案」では、内部統制全般の考え方を説明した上で、「IT環境、ITの利用、ITの統制」に関して例示しています。このように、内部統制を強化する上で、ITの利用やITの統制は必須の要件となっています。

内部統制におけるIT統制とは、以下のように大きく、「IT全般統制」と「IT業務処理統制」に分けることができます。

IT全般統制： ITを有効に機能させる環境を実現するための統制
IT業務処理統制：業務を行うプロセスに組み込まれたITの統制

さらに言いかえると、IT全般統制とは「運用管理者や開発者が意識する統制」、IT業務処理統制は「一般利用者が直接利用する業務処理部分の統制」であるといえるでしょう。

ページの先頭へ

IT全般統制のリスクにはどのようなものが？

先に述べた金融庁の実施基準案によれば、IT全般統制の例として、以下の4点を挙げています。

(1) ITの開発と保守に関する管理
(2) システムの運用・管理
(3) 内外からのアクセス管理などのシステムの安全性の確保
(4) 外部委託に関する契約の管理

それぞれのリスクに対応するための統制項目にはどのようなものがあるでしょうか？以下にまとめます。

分類	統制項目例
ITの開発・保守	プロジェクト管理現状分析と設計テスト、品質管理データの移行ドキュメント化教育変更管理
システムの運用・管理	運用マネジメントバッチ処理障害管理バックアップ性能管理ネットワーク管理災害対策
システムの安全性の確保	脆弱性対策ファイル暗号化持ち出し制御証跡管理不正接続遮断ファイルアクセス制限統合ID管理サーバ操作制御
外部委託契約管理	委託先選定サービス品質プロジェクト管理

[表1] IT全般統制の統制項目例

ページの先頭へ

さまざまなリスクに対応する富士通のミドルウェア

さらに前出の統制項目で懸念される具体的なリスクに対して、ミドルウェア製品を適用することで、システムではどのように対応できるのでしょうか。
以下に掲げるリスクの例のうち、太字で表記している部分が、システムで対応が有効な代表例です。

項目	リスク例	システムでの対応
ITの開発・保守	必要な時期に必要なシステムが提供されないテストが不十分なため、不完全なプログラムが誤動作を起こす一部のコンピュータでプログラム変更がなされず、業務に支障をきたす	ソフトウェアの資源配付により、一斉にアプリケーションの自動適用
システムの運用・管理	運用手順が標準化されておらず、運用ミスが発生する障害対応の監視がなされておらず、未解決の障害が放置される必要なバージョンアップやパッチ適用がなされず、障害を引き起こす災害時にシステムがダウンし、業務が停止する	システム変更などのプロセスをフロー化して作業履歴を管理システム全体を統合監視インシデントクローズまでを一元管理災害時の被害を最小限に抑えるバックアップセンター
システムの安全性の確保	持ち出し可能な媒体が盗難に遭う等によって、データが漏洩するセキュリティレベルが低いパソコンのネットワークの接続を、防止・検知できない内部関係者が不正利用、改竄しても、追跡できない	データの暗号化や持ち出し記憶媒体の使用制限、ファイルアクセス制限による漏洩防止セキュリティレベルが低いパソコンの検疫や接続制限ログを一元管理して、監査追跡
外部委託管理	外部委託先が十分な能力を持っておらず、期待される成果物を提供できない

[表2] リスクに対しシステムで対応が有効な代表例

上記で掲げたセキュリティ・運用管理・災害対策に関わるリスク対策に役立つ代表的なミドルウェアとして、以下があります。

ITの開発・保守

ソフトウェア配付によるアプリケーションの自動適用を実現する「Systemwalker Centric Manager」

システムの運用管理

運用プロセスや運用作業履歴の可視化を実現する「Systemwalker IT Process Master」
システム全体の統合監視を実現する「Systemwalker Centric Manager」
インシデントを一元管理する「Systemwalker IT Service Management」
ノーダウン・ロストゼロレベルのディザスタリカバリーを実現する「Symfoware Active DB Guard」

システムの安全性の確保

パソコンからの情報漏洩対策、ファイルアクセス制限や暗号化、ネットワーク不正接続防止などを実現する「Systemwalker Desktopシリーズ」
システムのログを一元管理し、監査証跡を実現する「Systemwalker Centric Manager」

これらのミドルウェアを適用したシステム構築により、お客様の「ITによる内部統制」の実現に向けたリスク対策を支援します。

ページの先頭へ

富士通のミドルウェア情報提供のご案内

「富士通のミドルウェア」会員と会員サービス

「富士通のミドルウェア」会員になりませんか？「富士通のミドルウェア」に会員登録していただくと、富士通のミドルウェアの最新情報をタイムリーにお届けする「FUJITSU's Middleware News」のご購読や、「ミドルウェア製品の体験版ダウンロード」をご利用いただけます。
会員登録は無料です。この機会に、以下のURLよりぜひご入会ください。