 |
|
上場企業およびその連結子会社を対象にした「内部統制報告制度」(いわゆる日本版SOX法)が適用開始となった。法規制ゆえに「待ったなし」の状況下で、各企業は内部統制の構築から整備状況の評価、運用状況の評価、不備の改善という流れで取り組んでいる。しかし、業務プロセスや対象となる事業拠点が多ければ作業量も比例して増加するため、多くの企業では苦労が絶えない。そこで、企業の日本版SOX法対応を効率化し、厳格な内部統制の実現に貢献するNECのソリューションを紹介しよう。
内部統制への取り組みと運用評価作業における課題 |
||
 |
||
時間と情報が限られた中、企業各社は内部統制報告制度(いわゆる日本版SOX法)の対応に向け、「業務記述書」「リスクコントロールマトリクス(RCM)」「業務フロー図」のいわゆる内部統制の“文書化3点セット”を手探りで作成してきた。これまでの作業について「文書化に追われ、大変だった」という声がよく聞かれるが、内部統制報告制度で最も負荷が掛かるのはその次のフェイズ、つまり評価作業なのだ。その作業量は、文書化作業の2倍近くになるともいわれており、文書化で作成されたものを「いかに運用・評価していくか」で、企業間に大きな差ができるだろう。
システムの導入を行わず、作業を従来どおり人手で進めた場合、内部統制の運用は極めて非効率になる。あなたが勤めている企業では、次のような問題が起きてはいないだろうか?
- 文書管理の問題 運用・評価を始めたところ、ファイルサーバには似たような名前のファイルが並び、どれが最新版かすぐに分からなくなったり、維持管理を業務部門に任せる予定だったのに内部統制事務局が各部門の修正個所を統合しなければならなくなった、というように文書の維持管理が困難な状況になっている。
- テストや評価の問題 各部署での自己テストを行ったが、数百〜数千の指示伝達だけで手一杯となった。計画的にテストが実施されているかどうかなどの進ちょく管理や、テスト結果の回収・集計はとても手作業で管理できる量ではなかった。
- 継続的運用の問題 内部統制構築・文書化まではプロジェクトチームを急造してしのいだが、その後の「引き継ぎ」が心配だ。
1の文書管理では、「改善の履歴」を管理するために旧版の文書を残す必要があることから、ファイルサーバによる管理では似たようなファイル名が並び、数千におよぶ文書からどれが最新版かを把握することは難しいという問題が発生する。また、旧版があるということは、検索などによって修正箇所の特定や作業後の修正漏れチェックが不可能ということを意味する。版管理の機能が不可欠だ。
複数の部門・現場が絡む文書のメンテナンスでは、複数の担当者が同時に作業した結果、ほかの部門の修正内容を上書きしてしまう事故が発生するリスクと隣り合わせだ。業務部門にメンテナンスを任せるには、排他制御・一元管理の仕組みが必要となる。これにより、複数の担当者による「上書き」を防ぎ、内部統制事務局が各業務部門の修正個所を統合する作業も不要になる。
2のテストや評価では、現場部門に運用テストなどの作業をやってもらうために電子メールなどで作業依頼を出そうものなら、担当者は数百〜数千の指示伝達をしなければならず、それに対応する膨大な結果もやはりメールで届くことになる。特別なシステムがなければ、それらのデータを登録・分類・集計するのも手作業だ。各部門担当者のフォローは非常に労力を要し、事務局やプロジェクトチームは増員しなければならない事態にもなり得る。その解決策はIT活用だ。これを支援するシステムが導入されれば、運用テストの計画・進ちょく・結果の管理が自動化され、漏れなく実施されていることや結果の集計・不備の発生状況などを一目で確認できる。テスト結果の登録さえ行われれば事務局サイドの手間は大幅に削減され、各担当者への状況確認や指示伝達などは必要なくなる。
3の継続的運用については、内部統制構築にかかわったチームメンバーで運用もしていければ、特に問題はない。しかし、構築プロジェクトは構築が終われば収束する。内部統制推進のスタッフが入れ替わる中、確実に内部統制の構築時に得たノウハウが移転できるだろうか? そして、全社で取り組む内部統制へ進化させることができるだろうか? 内部統制支援システムの導入は効率化と同時に、内部統制の運用を定型化することで、企業に内部統制の仕組みを残すことにつながるのだ。
内部統制構築支援ソフトウェア『StarOffice X Audit Manager』で |
||
|
||
上記のような内部統制の「構築」「運用」「評価」におけるさまざまな課題を解決するのが、NECの内部統制構築支援ソフトウェア『StarOffice X Audit Manager』だ。『StarOffice X Audit Manager』は、「可視化」「文書管理」、それに「統制評価/進ちょく管理」の3点に特長がある。
|
||||
| StarOffice X Audit Managerは、内部統制構築の全フェイズの効率化を支援する(画像をクリックすると、拡大表示できます) |
■可視化
『StarOffice X Audit Manager』では、内部統制で1000社以上に採用実績のある文書作成支援ツール「iGrafix FlowCharter 2007 SOX+」で作成した、業務フロー図やRCMを利用可能。また、「Microsoft Office Visio」や「Microsoft Office Excel」で作成した文書データとの連携も可能だ。手作業で作成した文書もムダにすることなく、さらなる活用が期待できる。
■文書管理
変更履歴を適切に記録し、いかに管理するかの課題解決には『StarOffice X Audit Manager』の「版管理」「排他制御」「文書化進ちょく管理」の機能が効果的。誰でも使える、操作性の良いGUIはもちろん、会社ごとの管理方法に合わせられる柔軟性が特長だ。
■統制評価/進ちょく管理
リスクに対してきちんと管理できているか、統制評価では重要な点だ。そこは、作成したRCMから統制評価で利用できるようにデータ化し、作業工数の削減を図ることも『StarOffice X Audit Manager』で実現している。「整備状況管理」「運用状況管理」「報告書作成支援」といったシーンでも大いに役立つ。
NECでは、さらに高度な要求に応える、業種特化のソリューションも提供している。その1つが「金融オプション」だ。対象勘定科目の多さから金融機関では特に複雑になりがちな評価対象プロセスの選定を自動化。内部統制実務と金融実務に精通した要員による「導入支援コンサルティング」と合わせて導入するとさらに効果的だ。もちろん、そのほかの業種・業態に特化した商品もリリースしていく予定だ。
IT全般統制支援ソフトウェアで |
||
|
||
■ID管理
上記のように内部統制の仕組みを作り、業務を可視化することで、顕在化するリスクもある。当然ながら、対応すべきリスクにはきちんと統制を施さなければならない。業務や職務分掌の見直しなどで対応する場合もあるだろうが、業務の基盤として情報システムを活用することが当たり前になった現在、やはりITによる統制──すなわちIT全般統制の強化が不可欠になる。
例えば、
- 「退職者のIDを確実に削除できているか分からない」
- 「利便性を優先させて共有IDを使っており、個人ごとのID管理が不十分だ」
- 「パスワードをずっと変更していない社員に警告したいが、対応できていない」
といった悩みを抱えている場合だ。
このようなID管理が抱える課題は早期に手を打っておかないと、悪意ある退職者が外部からネットワークにアクセスし、社内の情報を盗み出したり、共有IDを使ったトラブルがあったときに個人が特定されないといったことが起こり得る。もちろん、パスワードを長期にわたって変更しないのも、同じようにリスクを抱えることになる。
これらのリスクに対策を打つにしても、人手では適切なID管理の実現に限界がある。また、企業内の複数の業務システムに対して、それぞれID管理を行うと日常的なID変更作業や監査対応は、毎回システムの数だけ行わなければならない。
こうした課題を解決するのが、NECの統合ID管理ソフトウェア『WebSAM SECUREMASTER / EnterpriseIdentityManager』だ。これを利用することで、アカウント管理の窓口と作業手順の一本化や各システムへのIDの自動設定が可能になり、ID管理の効率化に加えて、監査工数の削減も図れる。
『WebSAM SECUREMASTER』は、企業内の各業務システムにユーザー情報を配布することで統合ID管理を実現する。システム連携するためのコネクタは日本市場を見据えた品揃えになっており、GUIに操作でID連携を定義可能だ。業務システム側への変更はないため、「予算が潤沢ではなく、ガラッと入れ替えるのは大変」と考えている企業にとって、NECが用意するこれらのソリューションは、重要なものから段階的に導入できるため、好都合だろう。
ユニークなのが、内部統制で特に重要となるポイントにフォーカスした「内部統制強化 ステップアップメニュー」をオプションで用意していること。これは、『WebSAM SECUREMASTER / EnterpriseIdentityManager』のマスタ情報と連携相手の業務システムのアカウント情報を比較し、ID棚卸しを行うもの。監査対応のためにID棚卸しのレポートを出力することも可能だ。Active Directoryを使っている場合は、申請・承認フローによりアカウント登録の申請・承認ルールを統一することもでき、Active Directory環境でのアカウント管理業務、内部統制の強化につなげることができる。
■アプリケーション変更管理
また、いくらID管理がきちんと行われていても、その業務アプリケーション自体に誤りがあれば、決算書にミスが紛れ込むリスクがある。次のような心配事はないだろうか。
- 「全社でアプリケーションの正しいバーションがリリースされているか」
- 「誰かが勝手にアプリケーションを変更したりしていないか」
こうしたアプリケーション修正時の変更管理も、ITを通じた統制が効力を発揮する領域である。NECが提供するシステム変更管理ソフトウェアが『WebSAM ClearSoXit』だ。
これはアプリケーションの変更管理などのシステム変更手続き、承認、作業履歴を管理する製品だ。特長として、「自動モニタリング」機能により、本番環境を常時モニタリングし、アプリケーションの「不正なリリース」や「リリースミス」を、人手を煩わすことなく発見できるようにしている。そのほか、リリースミスを防止し、プログラム配布の自動化ができる「自動リリース」や、統制範囲を開発フェイズまで拡大できる「構成管理」をオプションで用意する。
 |
|
| 『WebSAM ClearSoXit』は、アプリケーション変更管理などのシステム変更手続き、承認、作業履歴を管理する(画像をクリックすると、拡大表示できます) |
| NECのノウハウが活きたソリューションだから効率化を図りやすい | ||
|
||
企業の業務は、人とITのバランスにより支えられる時代。人が扱う業務が問題なくてもシステムが止まることでビジネスが遅延したり、小さな人為ミスが異常な動作を引き起こしたりして、会社の業績に大きな影響を及ぼすようになった。それだけに、このようなソリューションを適宜使い、人に依存している部分を自動化しながら、内部統制を強化していくことが大切だ。
日本版SOX法に対応するうえで、後手になっている部分まできめ細やかに対応できるのが、NECの「内部統制構築・評価」と「IT全般統制」に関するソリューションの魅力。なぜ、NECのソリューションは、そうしたところのフォローができるのだろうか。
それは、これらソリューションの多くが、「NECが実際に社内で導入し、その運用経験やノウハウを蓄積してきたもの」だからだ。それに加え、スモールスタートが可能なライセンス体系や、全社的にシステムが複雑化している企業でも簡単に導入できる製品が用意されている。また、できるだけシステムインテグレーション費用が掛からないような仕組みとなっており、従来ありがちだった「不明りょうな開発・導入コスト」を払拭(ふっしょく)するよう心掛けられている。
内部統制上の課題を段階的に解決していくこと、日本企業特有の環境に合わせた分かりやすいシステムであること──。NECの「内部統制構築・評価」と「IT全般統制」に関するソリューションは、日本版SOX法対応に悩む企業をさまざまな角度からサポートできるラインアップを用意している。
提供:NEC
企画:アイティメディア 営業本部
制作:@IT情報マネジメント編集部
掲載内容有効期限:2008年9月30日
|
||
 |
NECの内部統制強化ソリューション | |
|
StarOffice X Audit Manager | |
|
WebSAM SECUREMASTER | |
|
WebSAM ClearSoXit | |
|
||
|
NEC、地域金融機関向け内部統制強化ソリューション発売 (@IT News) | |
|
NEC、エンタープライズ2.0対応のグループウェア新版(@IT News) | |
|
NECが「協調型セキュリティ」を強化、人や物理的対策も視野に(@IT News) | |
|
NECが“原点回帰”の運用管理製品新バージョン(@IT News) | |
|
グループウェアからコラボレーティブウェアへ、NECの新「StarOffice」(@IT News) | |
|
NEC、内部統制を支援するソフトウェア3製品群を発表(@IT News) | |
|
NEC「WebSAM」がCMDB実装、ITILとの親和性高める(@IT News) | |
ITmediaはアイティメディア株式会社の登録商標です。
