内部統制に有効な「操作ログ」とは
「内部統制」とは?
こんにちは。第1回を読んでくださった方は1週間ぶりですね。先週の記事はいかがでしたか?「情報漏えい対策はこうしろ!」と大上段から切りましたが、情報漏えい対策に対する1つの考え方として皆さまの心にとどめておいていただければ幸いです。
今回の話は「内部統制」です。「この言葉を初めて聞いた」という方も「マネジメント層が話していたけれど技術者の自分には関係ない」と思っている方もいらっしゃるのではないでしょうか。しかし、内部統制は情報漏えい対策など情報関連の技術ともさまざまに絡んできますので、ぜひ読んでいただきたいと思います。
近年、粉飾決算などにより、企業の不正が相次いで取りざたされています。「不正」、つまり社会のルールや法律に違反したことが原因で、罰則が科されたり、社会的な信用を大きく失ったり、倒産の危機に追いこまれたりします。そうした不正を防止し、法律にのっとった社内ルールを作ることで、健全な企業活動を行う仕組みそのものが「内部統制」です。
つまり簡単に言うと「内部統制」とは「社内のルールとそれを順守させるための仕組み」です。「社内のルール」はどこの会社でもあるでしょうし、社のルールである以上、当然それは守られてしかるべきです。
少し抽象的ですので、具体的な例として、あるフランチャイズのコンビニエンス・ストアを挙げてみます。
このコンビニエンス・ストアは、オーナー店長とアルバイトで成り立っています。レジの打ちかた、接客の方法、配送物が来たらこう並べる、廃棄はこうする、出勤したらタイムカードを打つなど、業務をこなす上でのさまざまなルールがあります。これが今まで述べてきた「社内ルール」に当たります。
オーナー店長がいる間、アルバイトらはおそらく、上記で決められたルール通りきっちりと業務をこなすでしょう。この「オーナーによる監視」が一番単純な「統制」と言えます。ところがオーナー店長がいない時間帯、アルバイトだけでシフトが組まれたとすると、そこでルール通りに仕事をするかどうかは個人の資質によります。このため、彼らをきちんと働かせるために監視カメラを稼働させておく、出入りで業務日誌をつけるといった「ほかの手段による監視」も「統制」と言えるでしょう。
ルールを作るのは会社全体のため
では、ルールを守らせる背景には、どのような事情があるのでしょうか?
投資家は、信用がない企業には資金を投入しません。「内部統制の構築」がなされていなければ、会社が健全に経営されていないと判断され、マーケットからはそっぽを向かれてしまうでしょう。内部統制報告制度が立法されて強制されたと感じている企業や経営者が多いでしょうが、こうした捉え方では今後生き残っていくことは厳しいと言わざるを得ません。
一般的に「内部統制」の構築で求められるのは、「企業が業務の透明性を保つことを通じ、不正やミスを予防・発見するための仕組み」を作ることです。
内部統制の目的は、会社の従業員が携わった業務や外出時間/退社時刻などの業務内容を、客観的な事実に基づいて分析・解析することで、企業の健全性を保ち続けることです。会社は人の集合体ですので、一定のルールを作って、それを順守している姿勢を打ち出せれば、その企業が効率的な会社運営を行っていることが外部に対しても伝わるはずです。
法的には「内部統制報告制度」が施行される以前から「会社法」に「業務の適正を確保するための体制」と明記されており、つまり法令順守、業務の効率性/有効性や会社資産の保全を適切に継続していく「内部統制」は、あらゆる企業に存在していました。
ところが企業への不信という背景から、特に投資家からの要請を受け、「かねてより存在していた内部統制の内容を明確にして、特に財務報告に関して外部に対して説明できるようにする義務が生じた」というわけです。
次ページからは、内部統制の有効性を担保するための方法として、PC操作ログの有益性について解説します。