連載
» 2008年04月02日 08時00分 UPDATE

ITIL Managerの視点から:「内部統制報告制度に関する11の誤解」にツッコミを入れてみた (1/2)

3月11日に、金融庁が発表した「内部統制報告制度に関する11の誤解」。この内容を踏まえつつ、昨今の「内部統制狂想曲」について考えてみた。

[谷誠之,ITmedia]

 3月11日に、金融庁から「『内部統制報告制度に関する11の誤解』等の公表について」と題された文書が公表された。この4月1日から始まる事業年度から、多くの企業において一般に「日本版SOX法」とも言われている法律が適用される。これにともない、さまざまなベンダーが企業に対して「このままじゃいけませんよ、ちゃんと対策をとらなきゃ!」と危機感をあおり、コスト負担を強いている傾向が見受けられるというのだ。そこには「内部統制報告制度」に対する誤解があるというのだが……。


kinyu_11.jpg 金融庁のサイトからPDF化された文書をダウンロードできる


 この話題に触れる前に、ITIL Manager資格取得者としての立場から、筆者なりの「内部統制」に関する考えを述べておきたい。

 一般に「日本版SOX法」なる法律は、金融商品取引法の一部である「内部統制報告書の提出の義務付け」の部分を指している。金融商品取引法そのものはこちらをご覧いただくこととして、重要なのはその「24条の4の4」 である。以下に重要な部分を引用する。

第二十四条第一項の規定による有価証券報告書を提出しなければならない会社(第二十三条の三第四項の規定により当該有価証券報告書を提出した会社を含む。次項において同じ。)のうち、第二十四条第一項第一号に掲げる有価証券の発行者である会社その他の政令で定めるものは、事業年度ごとに、当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要なものとして内閣府令で定める体制について、内閣府令で定めるところにより評価した報告書(以下「内部統制報告書」という。)を有価証券報告書(同条第八項の規定により同項に規定する有価証券報告書等に代えて外国会社報告書を提出する場合にあっては、当該外国会社報告書)と併せて内閣総理大臣に提出しなければならない。


内部統制の基本となる6つの要素

 法律というものは、いつも難しい表現で書いてあるものである。この文章をやや乱暴に読み解くと、「日本に現存する大きな会社は、事業年度ごとに、財務をはじめとする多くの情報が適正であることを証明する報告書(内部統制報告書)を提出しなければなりませんよ」ということになる。従来、企業が適正に業務を遂行していることを測る指標は財務に関する情報だったが、イマドキそれでは足りない、ということなのだろう。お金儲けさえしていればそれでよい、というわけではないのだ。企業会計審議会が平成17年7月に発表した「財務報告に係る内部統制の評価及び監査の基準(公開草案)の公表について」(リンク先はPDFファイル)によると、内部統制の基本的な要素は6つあると定義されている。

  • 統制環境

早い話が、内部を統制しやすい社風、環境を作りなさい、ということである。会社全体、あるいは影響力の強い一部(幹部など)に「儲かっていれば、多少変なことをしていてもバレなければいいんだ」という意識があるのでは、内部統制そのものが破綻する。統制することが重要なのだという空気を会社全体に浸透させることがすべての基本なのだ。

  • リスクの評価と対応

ここでいうリスクとは「組織目標の達成を阻害する要因」のことを指す。自組織にとってリスクが何であるかを正しく分析・評価し、それぞれのリスクに対して適切に対応することが求められる。当たり前といえば当たり前なのだが、ことITに関して言えば、リスクの正しい評価や対応が十分でないことも確かである。実際、情報漏えいや攻撃を受けたというニュースは、枚挙にいとまがない。

  • 統制活動

「経営者の命令及び指示が適切に実行されることを確保するために定められる方針及び手続き」だと定義されている。責任の所在をはっきりさせましょう、ということ。

  • 情報と伝達

伝えられるべき情報が、伝えられるべき時に、伝えられるべき相手に、正しく伝えられることを組織として保証しましょう、ということ。体制やプロセスを確立するだけでなく、パワハラやセクハラが起きないような仕組みを作って徹底させることも含まれる。

  • モニタリング

内部統制がきちんと機能しているかどうか、定期的に評価する仕組みを導入しましょう、ということ。いわゆる PDCA プロセスをちゃんと回す体制を整えておく、評価のための指標を決めておく、評価の対象となるデータがスムーズに取れるような仕組みを整えておく、ことなどが重要になる。

  • ITへの対応

言うまでもなく、企業活動に IT は欠かせない。企業内の IT そのものが、内部統制に対応している必要があるのだ。上記、特に2〜5の要素が IT にも盛り込まれていないといけない。そのためには、実際にはありとあらゆるデータが素早く入手できなければならない。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ