継続運用に移行する内部統制におけるポイントはモニタリング
川端卓氏はセッションの冒頭、金融商品取引法実施年度に入った現時点で危惧していることがあると話した。内部統制の初年度に向けた準備を終え「ほっとした感」を持つ企業が多いというのだ。内部統制は整備をしたら終わりではない。運用こそ重要だとリマインドする必要がある。
内部統制の目的の中で、J-SOXで対応が求められているのは財務報告の信頼性確保。その範囲と対象は個々の企業に任されているが、それについても「実施基準に定められている通りに対応する」というスタンスではなく、各企業それぞれの規模や業務内容によって異なる「必ず抑えなければならないこと」がまずあり、「それを基準に照らし合わせるとどうか」検証するのが本来の姿だ。
内部統制を継続的に運用していくには、整備した仕組みに従ってプロセスが遂行されているかチェックする、モニタリングが重要になる。例えば、IT全般統制においては、アクセス管理や変更管理、入力管理など対応すべき項目は多岐にわたるが、それらが有効に機能していることを確認するために不可欠なのが証跡としてのログであり、効率的で有効な管理を行うためにはやはりITの活用が必要となる。ただ、川端氏は「単純にログ管理、ID管理のツールを導入すればいい、と直結するのは問題がある」と指摘する。現に米国では、ITへの過剰投資が疑問視されているからだ。ITの活用は、コスト効率良く効果的な統制を実現することが出発点のはずなのに、というわけだ。
業務の特性によって異なる内部統制の手法をきちんと検討し、効率的な仕組みを構築すれば無駄なコストは抑制できる。予防的統制と発見的統制の適切な組み合わせがポイントであり、リスクの重要性と発生頻度の観点から対応範囲を絞込んだ適度な予防的統制と、発見的統制の併用でコスト効率を高めつつ予防不能な未知のリスクに対する対策も講じることができる。またログ活用に代表されるIT全般統制対応を適切に行なうことで、個々のシステムに対して対策を講じる過度な統制も不要になる。
継続運用を省力化するSaaSという選択肢
内部統制を有効に行うポイントの一つが継続運用の省力化だ。そこで注目されるのがSaaSの有効活用だ。その前提として川端氏は「SaaSには適している分野と適さない分野があることを、まずは理解してほしい」と話した。やはり外部にサービスとして出すため、汎用性の高い分野が適している。定型的業務はベストプラクティス化が比較的容易であり、その点で複数企業にサービスを提供しているベンダーに集まるノウハウの付加価値は高い。さらに内部統制も今後、会計コンバージェンスなどの法規制、基準等の変更による変化への対応を求められることは間違いない。その都度、個々の企業が情報を収集し対策を講じるよりは、情報を集約している専門のベンダーに任せた方が、確実で効率的という考え方も可能だ。逆に他社と差別化要素となる業務や、自社のビジネス拡大に寄与する独自のシステムや仕組み、ノウハウこそ内部に保持するべきだ。
SaaS導入の期待効果としては、アプリケーションの維持、運用コストの削減、自社開発・パッケージ導入と比較して短期での導入が可能という点が一般的に挙げられる。それらに加えて最近注目されているのが、前述の「変化への対応」と、「第三者に管理を委ねることによる自己正当性証明」である。
情報の保全という意味でデータを外部に出すのは一見危険だが、最新のセキュリティ対策を講じている技術力の高いSaaS事業者に任せた方が、社内でシステムを構築、運用するよりも安全という見方も可能だ。SaaSのメリットを最大限に享受するためには、信頼できるサービス事業者を選定することが重要である。
2週間でログ収集・管理サービスを提供
SaaSベンダーは、ユーザー企業が安心してサービスを利用できるようにするため、さまざまな対策を実施している。その1つが、総務省が推進する「ASP・SaaS安全・信頼性に係わる情報開示認定制度」などの基準のクリアだ。JIECもログ統合・証跡管理サービスSaaS「Log Shelter」の提供にあたり、本認定を受けており、データセンターレベルでもFISC基準対応、ISMS取得などの各種基準をクリアしている。
ここで川端氏はLog Shelterを導入した東証一部、物流倉庫業『株式会社サンリツ』の事例を紹介した。内部統制対応を進める中で、監査法人からログ活用の必要性を指摘されたものの、対象範囲や活用方法の決定に時間を要し、Log Shelterの導入が決まったのが本年2月末。試験運用の開始は3月中旬とぎりぎりのタイミングだったが、4月の本番運用に間に合った。川端氏は「2週間という短期間の導入が可能だったことに注目してほしい」と強調する。また実際のユーザーの声として、利用開始も要望に応じた機能拡張が行なわれている点、それに対するユーザー側における追加運用コストが不要な点、そして何よりSaaS利用でシステム運用管理などの業務が省力化できた分、それ以外の部分の内部統制対応に注力でき、統制レベルを上げることができたことがメリットとなっていることを紹介した。
今年度のJ-SOX対応だけではなく、内部統制の目的であるコンプライアンス、業務の適正化といった視点で考えれば、ログの活用によって有効な改善のPDCAサイクルを実現できる業務は多岐にわたる。今年度はJ-SOXのための法対応が中心だが、内部統制改革を企業にとっての全体改革につなげるためには、一回きりの取り組みとして終わらせてはならない。
この全体改革においてSaaS導入は有効な選択肢となり得るが、SaaSはあくまで手段であり、活用すること自体を目的化させるべきではない。川端氏は「J-SOX対応で培った内部統制対応の仕組み、システムをより広範に活用し企業力向上につなげる視点を持つこと、その手段としてSaaS活用と言う選択肢を現実的なものとして捉えて欲しい」と締めくくった。
【関連リンク】
・LogShelter