SEC、情報セキュリティと会計のテストに落第

　米証券取引委員会（SEC）が、自らの情報セキュリティと会計慣行に弱点を抱えていることが、米会計検査院（GAO）の監査で明らかになった。これらは、企業各社による不正行為を防止し、正確な財務情報の開示を求めるために考えられたものだ。

　SECが外部機関の監査を受けるのは今回が初めて。この監査でGAOは、民間企業の会計を監督する立場にあるSECが、異常あるいは不審なアクセス活動を発見するための包括的な監視プログラムを実施していなかったことを発見した。

　GAOは米国時間26日に発表した報告書の中で、次のように述べている。「SECは、財務関連の重要システムへのアクセスを制限／検知するために、ユーザーアカウントやパスワード、アクセス権やアクセス許可、ネットワークセキュリティ、セキュリティ関連イベントの監査／監視といった有効な電子アクセス制御手段を、必ずしも実装していなかった」

　「その結果、機密データが知らぬ間に許可なく公開／修正されたり、失われる危険が高まった」（同報告書）

　政府支出を監視する国家機関であるGAOは、今回の監査で、SEC内部の財務慣行の問題点も発見した。一例としては、SECが企業に課す罰則に潜む「重大な欠陥」が挙げられる。

　「GAOの見解としては、不正利得の返還や罰則の記録および報告、財務諸表および関連する公開情報の準備、情報セキュリティの各分野におけるSEC内部の統制に重大な欠陥が存在するため、SECは2004年9月30日現在まで、財務報告に関する有効な内部統制を維持していなかった」（同報告書）

　SEC関係者は、GAOが昨年実施した監査の結果に対し遺憾の意を表明したものの、諸問題を解決することによって模範を示すと述べた。

　この監査では、SECが抱えるいくつかの問題点が指摘されたが、一方で同機関がコンプライアンス規則に全く違反していないことも分かった。

　「2004年9月30日現在、SECは全ての重要な点において、財務諸表関連の法律や規則の遵守に関する有効な内部統制を維持していた」（同報告書）