「コンプライアンス」いまだ道半ば

法規制に懊悩しつつ、対策に努める米国企業

（2006年02月24日）

リスク管理の基礎の基礎

　今日のIT管理者は、企業の収支に影響を及ぼすビジネスの１つとしてIT部門を運営しているが、その業務は、企業の財務諸表の正確性を保証する内部統制プロセスを確立するための取り組み（言いかえれば、SOX法対策）と無関係ではいられない。フランク氏は、さらにラジカルに、「私がIT部門で働いているとしたら、リスク管理に関するプロセスにいかにITを適合させるかということを大前提とし、それに準拠しないもの（システム、プログラム）はつくらない」と言い切る。

　現在では、どのような企業においてもリスク評価だけは行われるようになった。銀行残高がいくら逼迫していようと、リソースがいかに乏しかろうと、リスクを緩和するための戦略は企業にとって必須なのだ。

　リスク管理のアプローチは、まずコンプライアンスに関する取り組みの主導権を現場に託すというところから始まるが、最近は多くの企業がそれを実践するようになってきた。現実に、フォーチュン500社の多くでは、社内的に確立された権限を持つコンプライアンス作業チームが結成され、会社の重役と直接連絡を取り合いながら業務に当たっている。企業統治ソフトウェアを専門に扱うセルトゥース・ソフトウェアで、企業戦略担当副社長を務めるロビン・ベイカー氏も、「企業は（SOX法が施行された）当初、情報管理の職権をうまく委譲することができなかった。だが今では、情報保護プロセスを日々監視するにはどのようにすればよいのか、その責任を負うのはだれなのかといったことが、的確に把握されるようになった」と、企業側の意識の変化を強調する。

　では、そうした現場のコンプライアンス作業チームは、具体的にどういう取り組みを行っているのであろうか。一口で言うと、それは「社内プロセスの管理とその自動化」である。SOX法やHIPAAなどの法律は、企業の内部統制システムを自動化するよう定めているわけではないが、その代わりに、正式なプロセスを採用するよう規定している。例えば、ある企業である管理者が承認できる予算の限度額が、500ドルから1,000ドルへと引き上げられたとしよう。「正式なプロセス」では、こうした社内ルールの変更が権限のある個人によって承認され、その変更がシステムに入力される際に、だれかが警告機能を無効にしてゼロを1つ書き加えたりすることができないことを、制度的に保証しなければならない。この場合、ソフトウェアを用いて内部統制を行えば、人的ミスや故意の不正は劇的に減少するだろう。そのため、政府は厳しい規制の下、企業のIT部門に社内プロセスを自動化するよう圧力をかけているのである。

　規制に準拠するための取り組みとして社内プロセスの自動化の次に重要になるのは、情報の生成時にその識別・分類・区別を行い、適切なストレージ・メディアに送信することだ。電子メールやインスタント・メッセージングなどのやり取りにも、同様の処理を施さなければならない。そこで威力を発揮するのが、ドキュメント管理ソフトウェアである。また、ベイカー氏によれば、コンプライアンスのスケジュールを作成することも、コンプライアンス作業チームにとっては重要な仕事だという。「予定を立て、成果や影響などを含めて、作業がどの時点まで進行しているのかを常に把握しておく必要がある」（ベイカー氏）

前のページへ < ｜1｜2｜3｜4｜5｜ > 次のページへ