コンピュータ・セキュリティ関係にとって、ここ数年は"内部統制"、"企業統治"、"法連遵守"が大きなビジネスドライバー。
僕のようなもともとコアなセキュリティ開発者にとっては、こういった法律的な話は非常に難しい。あまりにも分野が違いすぎるし、結局は業務に突っ込んだ話なので一般論として考えたいパッケージやミドルウェアを開発には幅が広すぎるから。

しかし、これまでも金融庁のいわゆる"実施基準"などを読んだりして勉強してはいるのだが、やっぱりなかなか難しい。
セキュリティ開発者といえば昔はコアなところだけやっていれば良かったが、今は業務も含めて理解して会社全体にどうメリットがあるのか、IT全般統制とかを考える必要がある。

ということで、もう1年も前に公開された「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」（金融庁 企業会計審議会）のおさらいということで、この企業会計審議会 内部統制部会 部会長をされていた八田進二青山学院大学教授が書かれた本書で勉強した。
今更という感じなのだが、この本も割りと最近（2007年11月）に出版されたばかり。
2007年4月のRSA Conference 2007 Japanのときに、著者である八田先生のキーノートを聴講したのだが、その時にもおっしゃられていたように、内部統制がなぜ求められているのか、単なる法律だからというわけではなく、企業価値を高めるためにはなぜ必要なのかということが、世の中にまだまだ認識されていないから書かれたのかと思う。

半分くらいは実施基準の抜粋が載っていたりと分量的には少ないのだが、法律の背景としているところ、形式的な面だけでなくその目的・意図を理解するためには非常に良い本ではないかな。
ただ、この本の中身は初級編という感じなので、やっぱりこれを読んだだけでは『だから内部統制って結局何をすればいいのよ？』といった疑問に答えてくれるものではない。まぁ、こういう疑問があるということは、まだまだ内部統制の真意を理解できていないということだと思うのだが。そういう人たちのためにも本書を何度も読み込んで内部統制の目的を理解するべきだろう。

僕も周りの人たちに"内部統制の入門書"として薦めてみようと思う。
★★★★☆

これだけは知っておきたい 内部統制の考え方と実務 評価・監査編

• 作者: 八田進二
• 出版社/メーカー: 日本経済新聞出版社
• 発売日: 2007/11/01
• メディア: 単行本
• この商品を含むブログ (2件) を見る