大塚商会の販売最前線からお届けするセールスノウハウマガジン「BPNavigator」のWEB版です。  
BPNavigator to Go Index Backnumber BP PLATINUM
  Up Front Opinion巻頭特集Focusコラムイベントvol35以前のバックナンバー  
巻頭特集 中小・中堅企業に必要なリスク管理と情報管理の処方箋
2008年1月時点の情報を掲載しています。

改正金融商品取引法、通称「日本版SOX法」がいよいよ2008年4月から適用される。対象となるのは上場企業とその連結対象の企業だけだ。直接的には中小・中堅企業には関係しない。しかし、それらの企業と取引関係にあったり、新規取引を結ぼうとする場合、取引条件に大きな差がなければ、内部統制のための対策を整えた企業を優先的に採用することが考えられよう。情報管理が未整備と判断されれば取引対象からはずされたり、取引条件に影響を及ぼしてしまう可能性もある。はたして中小や中堅企業でIT面での内部統制が不十分だと、どのような問題が起こりうるのか。逆に内部統制の対策を整備することで、どのような効果が期待できるのか。企業活動にITがますます利用されている現状から、パートナー様がお客様にセールスするため、内部統制の確立のためのソリューションを紹介しながら見ていく。


中小や中堅企業でも 内部統制は重要
中小・中堅の企業にとって、「内部統制」というだけでは捉えどころがなくなってしまう。取引先を思わぬトラブルに巻き込んで迷惑をかけないために最低限のリスク管理は必要だ。パートナーのお客様のリスク管理への対応でアプローチしよう。


内部統制を確立しないと 既存取引に影響を与える?
 「うちは、内部統制の対策なんか必要ないよ」。こう話されているパートナーのお客様はいないだろうか。ここ数年、企業の内部統制の必要性が声高に唱えられてきた。そのせいか、特に中小や中堅企業の中には「内部統制」という言葉に聞き飽き、騒ぐばかりで実態のないオオカミ少年のように受けとめている例もあるようだ。しかし、中小や中堅企業にとってもいよいよ内部統制の対応いかんが、事業規模の維持や拡大のための要件になろうとしている。
 改正金融商品取引法が、3月期決算の上場企業とその連結対象の企業に対しては、2008年の4月から始まる会計年度から適用される。これらの大企業ではすでに、同法に対応するための内部統制の体制が整えられつつある。
 こうしたコンプライアンスの流れは、中小・中堅企業にとって、カヤの外の問題だろうか。実はそんなことはまったくない。内部統制のための体制を整備した上場企業などは、取引先の中小・中堅企業に対しても、情報の適切な管理や内部統制の実施を要求してくる可能性があるからだ。それに対応できない企業は、取引を停止されないまでも、取引条件で制約されかねない。
 したがって今現在すでに上場企業などと取引のある中小や中堅の企業は、なるべく早く内部統制のための体制を整備する必要がある。さらに現時点では上場企業などと取引はないが、将来的に取引を行うことを望んでいる企業にとっても、内部統制対策は整えておくべき課題なのだ。
 ここ数年は食品や建設業界など、さまざまな企業による偽装や違法行為が大きな問題となった。企業が管理している個人情報が流出してしまった事件も、数多く起こっている。こうした問題が発覚すると、その企業の経営は深刻な打撃を受けかねない。その企業自体の内部統制が不十分だった場合だけでなく、個人情報の流出や建築強度の偽装などの例に見られるように、取引先の不手際が原因で企業の信用が大きく損なわれる場合もあるのだ。それだけに大手の企業は今後、取引先である中小や中堅の企業にも内部統制の確立を強く求めてくることが予想される。規模の大小にかかわらず、すべての企業にとって内部統制の確立は避けて通れないといえよう(表1参照)。


中小や中堅企業では リスク管理が当面の課題 それでは中小や中堅企業がITの分野で内部統制を確立するには、どのような対策が必要なのだろうか。
 最近では「内部統制」という言葉が一般化、あるいはわかりにくいと受けとめられるようになったため、その対策の名称に「内部統制」という単語は用いず、「G.R.C.ソリューション」と呼ぶ例も一部のベンダーで出ている。G はガバナンス(Governance:企業統治)、Rはリスク管理(Risk Management)、Cはコンプライアンス(Compliance:法令遵守)を指している。
 「ガバナンス」は経営者が決めた戦略に向かって、どう組織を動かしていくのかが課題であり、「コンプライアンス」は、どうやって組織のすみずみにまで法令遵守の姿勢を徹底させるかということが課題である。しかしどちらの課題も、中小や中堅企業の場合、組織規模の大きい大企業ほどの対策が必要になるわけではない。なぜなら組織が単純かつコンパクトであれば、経営者の決めた方針を社員に徹底させやすいからだ。したがって中小や中堅企業の場合、まず取り組むべきはリスク管理こそが最優先の課題になってくる。
 特に対策はとっていないにもかかわらず、これまでリスク管理の面で問題が発生せずに済んでいた企業は、たまたま幸運だったと考えておくべきであろう。内部統制のために努力しない企業は下りのエスカレータに乗っているようなものといえるのではないだろうか。一定の対処をしてはじめて現状を維持でき、なおかつそれ以上の経営努力をしないと業績向上は望めない。これが、今の中小・中堅企業の経営を取り巻く環境なのである。


ユーザー情報やログの管理は 多くの企業が導入済みか検討中 リスク管理を筆頭として、中小や中堅企業がIT面での内部統制対策には、どのようなものがあるか。それらは、どれくらい実施されているのか。IDGジャパンが2007年春、日本版SOX法対応で利用中あるいは導入検討中の技術や製品に関して、企業に複数回答でアンケート調査したのが、表2である。
 これによるとアクセスや操作のログ管理を導入済み企業は約半分、導入検討中の企業をあわせると約7割に達する。内部統制からは目的が少し外れるが、リスク管理のためにバックアップやリカバリを導入済みの企業も5割を超えている。
 それらに次いで多いのが「ユーザー情報管理」「サーバ/クライアントPCのセキュリティ構成管理/監査」「エラーログなどシステム管理系のログ管理」の3項目で、いずれも4割強が導入済みだ。
 その一方、個々のソフトウェアを使う度にユーザーIDやパスワードを入力するのではなく、最初に1度の認証ですべてのソフトウェアを利用できるようにするシングルサインオンや、ワークフローツール、文書/コンテンツ管理を導入済みの企業は、それぞれ25%前後。それ以外の項目の導入率は、いずれも1割程度以下でしかない。したがって今後は、これらの導入が多くの企業にとっての課題となるだろう。

arrow 続きは本紙でご覧下さい。
■表1 内部統制対策にとるべき施策と対応状況
表
(出典:IDGジャパン)
拡大

■表2 日本版SOX法対応で利用中あるいは導入検討中の技術/製品(複数回答)
表
(出典:IDGジャパン)
拡大

Backnumber

【巻頭特集】

・AC100V電源対応により、オフィスに設置できるブレードサーバが登場
スモールスタートではじめるブレードによるサーバ統合 【Vol.35】

・Linuxサーバ向けHAクラスタソフトウェアの決定版! LifeKeeper for Linux 【Vol.34】

・コスト削減だけではないVMwareサーバ仮想化製品の導入メリット 【Vol.33】

・ノンストップで業務を継続するためにかかせないデータバックアップとストレージシステムの障害対策 【Vol.32】


 
PageTop
BP PLATINUM本紙の購読申込み・お問合せはこちらから
Copyright 2006 Otsuka Corporation. All Rights Reserved.