6つの事例に見る内部統制が与える影響：丸山満彦の「内部統制」講座（3/3 ページ）

[丸山満彦，N+I NETWORK Guide]

情報システム部門に期待される内部統制

　サーベンスオクスリー法の適用が始まった。その影響は、経理部門や販売部門、購買部門など会計処理に直接関係する部門だけでなく、会計処理の支援を行っている情報システム部門にまで及ぶ。企業の内部統制が日本より進んでいる米国企業においても、コストの問題をはじめとする導入負荷の高さが大きな議論となっており、また、約10％の企業で重要な欠陥があることがわかった。重要な欠陥の中には、情報システム部門の責任に帰するものもあった。

　こうした状況を踏まえ、将来は日本でも同様の法制度が整備された場合、CIOや部門管理者、部門担当者は、どのような点に留意すべきなのだろうか。以下に、それぞれのポイントをまとめる。

CIO（最高情報システム責任者）

　IT情報システム部門において、最も重要な役割を持っているのがCIOだろう。CIOの最も重要な役割は、情報システムの統制を行わなければならないという企業文化をつくることである。CIOが中心となり、IT情報システムの方針の制定や情報システム関連の管理規程（情報システム開発規程、情報システム運用規程、情報セキュリティ規程など）、管理手順、技術標準の整備・運用が十分であるかを確認し、もしそうでないと判断すれば、早急に整備・運用を行うように指示すべきである。

　その際、場合によっては組織変更や、責任と権限を見直す必要が出てくる場合（たとえば開発部門と運用部門の分離など）もあるだろう。これらのことは、最低限、財務報告に影響が及ぶ部分について行う必要がある。

部門管理者の場合

　部門管理者は自らの責任の範囲内で、規程が十分に守られているかを確認（自主点検）しておく必要があるだろう。もし、規程が十分に守られていなければ、その原因を把握しておくべきである。原因としては、規程が担当者に周知されていない、規程の内容が抽象的かつ運用手順などが明確に定められていない、改訂されていないなどが考えられる。あるいは、規程の内容が遵守できない内容となっている場合もあろう。このような場合、教育の実施、運用手順の策定、規程の改訂の提案などを行う必要があるだろう。

　運用関連であれば、ID付与手順、アクセス権設定に関する規程、ジョブ実行手順関連の規程などの手順書の整備、運用状況の確認をしておくとよいだろう。また、開発・保守関連であれば、システム開発手順の作成、テスト手順の作成などを考えるとよい。このレベルでの統制活動では、承認、レビュー、相互牽制の仕組み、職務の分離などがポイントとなる。

部門担当者として

　システム担当者は、規程や手順書の遵守をしていることを確認すべきであろう。できていない部分については、見直しをすべきである。また、担当者として、規程や手順書などの整備に不備があると思われる部分は、規程や手順書などの整備を提案すべきだろう。

　冒頭でも述べたように、米国における粉飾決済事件などを背景に、それを是正するための法律が成立した。そうした流れとビジネスのグローバル化に伴い、内部統制は、今まさに日本企業にも導入されつつある。それは必然であり、もはや企業文化や慣習レベルの問題ではなくなってきている。現時点でまず必要なのは、健全な企業経営にとって何が必要かということを見直し、内部統制を円滑に展開するための文書化を習慣付けることである。その根底にあるのは、「適正に行っているということを他者（監査人）に明確に説明できる」ということなのである。