新興ベンチャー危うし!?：J-SOX法対策の死角となるか？ IT統制の標的 第8回（1/2 ページ）

内部統制においてネックになると見られているIT部門。加えて、新興成長企業自体も問題視されている。そこには、世間でもてはやされている多くのIT企業が含まれているのだ――。

[アイティセレクト編集部]

伝統的大企業と新興成長企業

　アイ・ティ・アール代表取締役の内山悟志氏は、上場企業の特徴を、伝統的大企業とジャスダック証券取引所などに上場している新興成長企業の2つに大別する。2つの間には、マネジメントのスタイルや経営者の考え方にずいぶん違いがあり、それぞれ課題を抱えていると指摘する。

　まず、伝統的大企業には2タイプが考えられると説明する。一つは、製造業に多く見られるように、TQC／TQM（総合的品質管理）、ISO取得といったことがもともと進められていたこともあり、PDCAサイクルや目標管理が全社的に整っているような、マネジメント成熟度がかなり高い企業。もう一つは、ITの重要性に対する認識が低く、IT部門を外部に丸投げするなど自社内にほとんど統制機能がない、空洞化した企業である。「IT＠ガバナンス」（12月13日の記事参照）によるマネジメント成熟度で見ると、前者は3点台というプラス評価を記録する一方で、ユーザー部門の動きに追いつけないなどマネジメントが「重い」という欠点を持つ。後者の場合は、ITに関しては自社内には企画機能くらいしか存在しないため、スコアは2点以下になるという。

「属人化の塊」と化したIT部門

　新興成長企業の特徴は、スピード感のあるビジネスが華やかに映るものの、IT自体はそれに追いついていくのが精一杯で、プロジェクトがたくさんあるにもかかわらず、IT部門は「即戦力として雇われた転職組による少数精鋭部隊」という環境になっていることである。それ故、「属人化の塊みたいなところがある」（内山氏）とされている。当然ながら、マニュアル化などはできておらず、体制、手順、文書化におけるスコアは2点以下という低い状況にある。

　実は、こうした新興成長企業が最も内部統制監査をクリアできないといわれている。「内部統制監査において一番大きなリスクを抱えていると見られるのは、新興成長企業だろう」（内山氏）。「新興成長企業は今から対策をやってもどうか。自社内に人材もいない」（監査法人トーマツでトーマツ企業リスク研究所所長を務める久保惠一氏）というのだ。