“攻めのSOX法対応”を実現するためには？：IT担当者のための内部統制ガイド（1）（2/3 ページ）

[鍋野 敬一郎，＠IT]

IT活用で実現する攻めの内部統制

　「内部統制」への対応にITを活用するポイントを説明する前に、内部統制を含むコーポレートガバナンスのフレームワークについて簡単にご紹介しておきます。コーポレートガバナンスは企業統治と呼ばれ、企業活動の社会的責任や事業活動を適正に行っていくことを意味しますが、その目的は企業の社会的信頼性を保証することです。社外に対する活動は、ディスクロージャーとしてのCSRやIRといった情報開示活動や、透明性確保としての個人情報保護法対応やセキュリティなどのガイドラインを公表するものです。

　いずれも文書やメッセージで発信されるものであり、こうした活動が企業の社会的な信頼度や貢献度を評価する指標となります。これに対して、社内に対する活動に内部統制があり、広義の意味には業務の効率化による事業活動の有効性を追求することです。さらに企業が事業活動を適正に行うコンプライアンス（法令順守）を強化することも含まれます。

　そして狭義の意味では、財務活動が適切に行われている信頼性を裏付ける“財務信頼性”のための統制活動があります。つまり“財務信頼性”の確保が、今回の最重要課題となります。ですからその一連の活動を統制するための業務プロセスの見直しや、文書化、リスクをコントロールするための手順や改善を全社で管理する必要があります。ITを適用する目的は、こうした管理をIT活用によって効率化、最適化するところにあるといえます。

図2：内部統制対応フレームワークとIT活用のポイント

IT適用における3つの視点について

　「内部統制」対応におけるIT活用のポイントについてご紹介します。

　内部統制に対応するIT適用の対象は、先にも述べたとおり全般統制と業務処理統制がまず挙げられます。この2つは公開草案に記載されているものですが、これに加えてエンドユーザーに対して内部統制対応の重要性や、ルールを守らなかった場合のリスクを、理解してもらうためのエンドユーザーレベル向上の手段としてもIT適用は有効です。

　例えば、営業担当者がお客さまに対して請求書を手で渡して現金で代金を回収するような業務を行っていた場合、これは内部統制対応できていないと判断されます。つまり営業担当者が請求書を改ざんして、代金回収を行い一部着服して代金回収しても、これを防ぐ手段がないからです。これは極端な例ですが、新規顧客を経理システムのマスタに登録する作業を担当営業が行えば与信管理をあいまいにすることができますし、購買活動も利用部門が意図的に特定の業者へ発注する操作を購買担当者が行えばやはり不正が生じるすきを作ることになります。「内部統制」対応とはこうした業務処理手順に関する見直しを強いるものであり、これまで行ってきた活動が適切でないということをエンドユーザーに認識、理解してもらうところが対応に一番困難ところといえます。

　米国監査法人の2005年のレポートには、その顧客の約1割が内部統制対応に対応できていないと警告する報告もありました。そして、その理由の3割が「文書化」に、2割が「人的問題」によるものでした。

図3：内部統制監査結果における不備の内容

　「文書化」にはIT化を起因するものが含まれています。「人的問題」には、業務が属人化していることや、現場担当者の意識レベルが低いことによります。最近経営破たんした米国の自動車部品大手2社の直近のアニュアルレポートを読んでみたのですが、その最後に記述されている監査法人の内部統制に対する指摘には、“現場担当者の内部統制に対する理解力と習熟度が低く改善を要する”との記述があります。結局、すでに経営破たんしていますので、この監査法人の指摘は適正であったと思われます。