第131号コラム:丸山 満彦 監事(デロイト トーマツ リスクサービス株式会社 パートナー、
                                  公認会計士、公認情報システム監査人、IDF監事)
題:「発見的統制の重要性」

 内部統制は企業にとっては不可欠のものであるにもかかわらず、これまではその重要性が広く認知されていなかった。いわゆるJ-SOX制度がはじまり経営者を始め多くのビジネスパーソンが内部統制を意識するようになったことは非常によいことだと思う。内部統制には、あらかじめ想定されるリスクの発現を予防するための予防的統制と、あらかじめ想定したリスクの発現を検知し、いかにその影響を抑えるのかという発見的統制との2つに大別することができる。情報セキュリティの分野で考えると、個人情報の漏えいを防止するためにアクセス管理を強化するということは予防的対策と言える。一方、個人情報が漏えいしたことを発見するためのアクセスログのレビューは発見的対策と言える。

 多くのリスクは発生した場合の影響はそれほど大きくないが、起こる可能性が高いものである。したがって、予防的統制がリスク対策の基本となる。しかし、次の場合には発見的統制が重要となる。

1.リスクが発現した場合の影響度が高い事象
2.自然災害などリスク(脅威)の発現を人間が制御できない事象
3.不正など意図的な事象に係わる事象

 3について考えてみよう。そもそも権限を与えられた人が与えられた権限を使って不正をする場合もある。また、不正をする人はあらかじめ予防的対策の欠点を理解していて、その「裏をかく」場合も多い。これらのことから、不正については発見的統制が重要となる。また、不正をしてもそれが発見されるとわかっていれば、不正をしようとする動機を抑えることができる。不正の抑止という点から見ても発見的統制が有効といえよう。フォレンジックに関連する技術や手段は発見的な統制のためにも活用できる。フォレンジック技術や手段を発見的統制に活用することがこれからはより重要となってくるだろう。

【著作権は丸山氏に属します】