八田教授が語る「ここがヘンだよ、IT業界の内部統制」（2/3 ページ）

[高橋睦美，ITmedia]

　ただ、ITという要素をすべて切り捨てるべき、というわけではまったくない。

　特に、一足早く運用に入った米SOX法では、実施後企業側からさまざまな不満や批判が出てきた一方で、前向きでポジティブな評価も指摘されているという。その1つが、ITの活用だ。「これまで経営者が思いもしなかったリスクを見つけ、非効率だった部分を効率化し、効果的な組織改革に向けて取り組む上で、ITは不可欠だ」（八田氏）

　そもそもITなしの社会というのはもはやあり得ない。また、「これまでマニュアルでやっていたことをオートマ化することができる。正確性や迅速性を担保するうえでITの果たす役割は大きい」（同氏）。いたずらに騒ぎ立てるのではなく、企業内部統制のよりよい実現に向けてうまく活用してほしいとした。

内部統制は「継続的な対応が求められるもの」

　八田氏がもう1つ強調したのは、内部統制の構築、整備は「一度作ってそれで終わり」という性格のものではないということだ。

　個人情報保護法しかり、会社法しかりだが、「新たな法規制への対応は一過性のもので終わった感がある。まさに大山鳴動してネズミ一匹という状況だった。しかし、今般の内部統制報告制度はこうした形式的な器の議論とは異なり、ダイナミックに動いている運用状態を見ていくものであり、継続的な対応が求められるものだ」と八田氏は述べた。

　これまでも内部統制の監査には、内部統制「整備」状況の監査と「運用」状況の監査という2つの種類があった。前者は、権限は明確になっているかといった決めごとに関する事柄を「止まっている状態」でチェックするものであり、文書化されたプロセスなどを確認していくことになる。もう一方の運用状況の監査は、「ダイナミックな状態を見るもの。つまり、作り上げたものが本当にそのとおりに、魂がこもった形で機能しているかを確認する」（八田氏）

　記事の見出しなどには「内部統制の整備が必要だ」といった表現がしばしば使われる。しかし、それは「スタートないしは形式の段階。内部統制は一過性のものではなく、定期健康診断のように継続的にウォッチして、適宜見直していくことが必要だ」と同氏は述べた。