1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. 【特別編】コンプライアンスサミット2006(前編)

【特別編】コンプライアンスサミット2006(前編)

さる1/13(金)、日立システム特別協賛による「コンプライアンスサミット2006『企業価値を高める経営姿勢へ』」が開催されました。最新動向インタビューは「特別編」として、当日のサミットの模様を紹介します。

株主重視の経営や企業価値向上が叫ばれる中、特に昨今、有価証券報告書の虚偽記載や粉飾決算などの企業不祥事が相次いでいます。「コンプライアンスサミット」では、IT化の進展による情報管理の問題、金融株式市場の中での経営情報の透明化、企業の経営と所有に関するガバナンスと内部統制の問題などの重要な経営課題を、単に問題発覚後の企業防衛としてだけではなく、企業が社会から評価されるための経営問題として、いかに戦略的に考えていくか、という点をテーマに、3部構成で行われました。

■第1部=基調講演

第1部は基調講演として、内閣官房情報セキュリティセンター・参事官補佐の山崎琢矢氏と、弁護士の牧野二郎氏による講演が行われました。

山崎氏の講演では、「企業の社会的責任としての情報セキュリティ」をテーマに、政府と民間企業がどのようなアプローチをとろうとしているか、その全体像について言及しました。

冒頭、「情報セキュリティ対策」は「企業の社会的責任(CSR)の一環」であるとの認識がなされているが、CSRを果たすにあたっては、いかに企業価値を高める循環を作るかという視点が大事であり、CSRそのものが自己目的化することのないようにする必要があるとの指摘がありました。

その上で、企業の情報セキュリティ対策に関する政策の方向性として、以下の3点が示されました。

・政府は、「企業が情報セキュリティ対策を強化することは必要である」との立場をとる
・政府は、企業が情報セキュリティ対策を実施することにより、企業価値向上に繋がるような仕組みを作る
・政府は、企業単体では対処できないリスクを減じるための「基盤」を作る

また、米国SOX法と日本版SOX法との対比について、概要が説明されました。米SOX法では、財務報告書作成のプロセスが正確であることを担保するために、IT統制が重要との認識がなされており、このため、SOX法の実施基準として「内部統制フレームワーク(COSO)」と「IT統制フレームワーク(COBIT)」が組み込まれています。特に、情報資産に対するアクセス制御や、情報の完全性を保証するのは情報セキュリティの役割であるとの認識から、COBITの中ではとりわけ「情報セキュリティ」が重視されている傾向があります。

一方、日本においては、昨年12月、企業会計審議会の内部統制部会により、「財務報告に係る内部統制の評価及び監査の基準のあり方」が公表されました。これは日本版SOX法における「内部統制フレームワーク」に相当するもので、経営者に内部統制報告書の作成を義務付けるとともに、監査の対象とすることが定められています。

また、「IT統制フレームワーク」に相当する部分については、重要な欠陥の定義や判断指針、ITを含む業務プロセスの具体例や評価方法など、実務上の取扱いを明らかにする目的で実施基準を早急に策定することが決まっています。

山崎琢矢
山崎琢矢氏による基調講演

こうした内部統制に関する現状を踏まえながら、政府による「第1次情報セキュリティ基本計画(案)」についての全体像についても言及がありました。政府としては、情報セキュリティ対策が企業経営においてより重要度を増す流れになっていく認識のもと、企業の「自律的な対応」を前提とした環境整備を進めていき、国際競争力のある環境を整備していくことが大事であるとの考えが述べられました。


続く牧野氏の講演は、「企業の法的環境と内部統制システムの確立」がテーマ。内部統制強化というと2008年3月期にも導入されるといわれる「日本版SOX法」にばかり目が行きがちですが、牧野氏は、内部統制とは、「従業員を監視すること」ではなく「業務を監視すること」であるという考えのもと、IT化の前にしっかりと業務改善の仕組みを考えていくことが大事だと述べました。

牧野二郎
「内部統制構築の計画を立ててステップを踏むことが大事」と語る牧野氏

牧野氏は「日本版 SOX法への対応だけでは十分ではない」と言及。今年5月にも施行予定であるといわれる新会社法を視野に入れることが大事だということです。日本版SOX法が財務報告に関する内部統制の構築を求めるのに対して、新会社法では企業業務の適正性確保が求められてきます。これが、冒頭で述べた、内部統制とは「従業員を監視すること」ではなく「業務を監視すること」であるということの真意です。

そして、企業が内部統制システムを構築する場合、ポイントになるのは「業務改善と業務の透明化」であると指摘しました。業務の流れの中には、担当者の経験や勘に頼ったブラックボックスのフローが存在する場合が多く、内部統制の観点ではこのブラックボックスがすなわちリスクになる可能性が高いのです。というのも、担当者以外は当該フローの内容が精査できないため、不正があっても分かりづらいからです。

牧野氏は、こうした経験と勘に頼った業務プロセスを可視化することで、結果的に業務全体の効率性まで上げることができると述べました。業務改善の視点がなければ、いくら内部統制のためのIT基盤を整備したところで、情報漏えいなどのリスクは低減されないというのが牧野氏の論旨でした。


■第2部=IT基盤構築について

第2部は、内部統制を実現するための方法論であるIT基盤をテーマに、日立システム執行役・石井清と、野村総合研究所理事長・村上輝康氏の講演がありました。

石井のテーマは、「ITを活用した内部統制の実現」。内部統制=業務プロセスの改善を推進するために、ITを活用することでより強固で効率的な基盤の構築が可能になるという点を、実例を引きながら説明しました。

日立システムの考える内部統制とは以下の4点が柱になっています。

・社会・株主への責任
・企業価値向上のための投資
・PDCAの経営基盤
・ITの利用

現在、日立システムでは、内部統制と人財育成をキーワードに力を入れており、2006年4月からはコンサルティング会社と協業し、内部統制コンサルティングを展開していきます。2006年度の上半期には、文書管理システムによる内部統制整備の導入や、IT全般を統制するインフラ整備のサービスを提供していきます。


ITを活用した内部統制基盤の構築に注力していくと語った石井執行役

さらに2006年度下半期には、ERP(統合基幹業務システム)と連携させたサービスなども導入予定で、石井執行役は、内部統制の整備にはIT活用が不可欠との考えのもと、豊富なアライアンス製品とアライアンスパートナーとの連携により、お客様の内部統制整備をトータルにサポートする考えを示しました。

資料の配布は終了いたしました。

(以下後編に続く)

関連キーワード:

ERP

インフラ整備

コンプライアンス

企業価値

  • 【結果発表】クレジットカードやキャッシュカードの認証。どこまでやるべき?
  • カテゴリートップへ
  • フィッシング詐欺の最新手口とは