質問

2007年03月25日 06時41分
  • 業務コンサルタント(社内情報システム兼任)観点からの「内部統制」と「IT」

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

以下、長文です・・・・・・・・・・・・・・・・・・

「内部統制」と「IT」の関係に関して、他の書込みでも様々な議論があるようですが、肝心な点が論じられていないと思い、新しく書込みをさせていただきます。

「内部統制」がチヤホヤされている現状の背景にはJ-SOX法の施行があります。J-SOX法は、その対象とする企業に「上場」などの条件があります。
しかし、「内部統制が必要か?」といった議論は、「J-SOXの対象企業」とか「中小企業だから」とか「町工場だから」だとかいうこととは、全く別の観点で論じられるべきです。

J-SOXのベースとなっているアメリカのSOX法は、ある企業のマネジメント層が内部統制をないがしろにした結果、深刻な企業犯罪が発生し、それがアメリカ経済に大きな影響を与えた事件を背景に制定が急がれました。
日本でも同様で、「内部統制」をないがしろにしてきたために、あらゆる大手企業で様々な問題が表出してきています。

内部統制の本質は、『社員が行う全ての企業活動/情報を統制する仕組』であり、『善人を悪人にしないための仕組』であり、『企業の利益を担保する仕組』です。

よって、全ての利益取引を行う組織内のミドルマネジメント層以上にいる人間は、必ず意識的に考えなていなければならない問題です。
つまり、ITインフラ整備などの社内情報を運用し、直接的な企業活動を行うレベルにいる担当者が、そのような裏づけも無く検討し判断できる問題では『ない』はということです。

とはいえ、内部統制とITを、全く別なものと考えることも危険です。
ITは現在の企業活動に必要不可欠なポジションを占めており、「内部統制を利かせるためにはITを利用することが有効」といえるからです。
もとい、内部統制を利かせられる部分は、ほとんどの企業において「ITで処理している部分にある」場合が圧倒的に多いという現実もあるでしょう。

情報システム担当者として注意しなければいけないのは、(他の書込みにもあるように)内部統制のためにITインフラを「入れ替える」や「新規導入する」と安直に考えてしまう企業が多く、それに便乗した商法に乗ってはいけない!ということです。
かといって、「J-SOX」だ「内部統制」だというのは、大手SIや一部の詐欺まがい商法を行う企業の流行ビジネスモデルであると考え、そこで思考が停止してしまうことは、もっと危険です。

一番大事なことだと思いますので重ねて申し上げますが、本来の内部統制は、「あらゆる企業にあってしかるべき」ものです。

  「内部統制」−[直結]→「ITインフラ」=「セキュリティ」

という安直な発想をマネジメント層がしている企業ほど、「内部統制とは何か?」を自社の「内部統制」を見直すべき企業だと思います。
また、そのような基礎があって初めて、情報システム担当者は「内部統制」と「ITインフラ」の関係を検討すべきです。

昨今の情報漏洩事件などで、あらゆる企業におけるセキュリティの重要性が認知されてきました。
同様に、この「内部統制祭り」が、あらゆる企業における「内部統制」の重要性を見直す為の良い機会になってくれることを願っています。

2件の回答があります

回答

らいおんさん、ほぼ同様の考えです。

基本的に「IT業界は偏ったマッチポンプのリーダーである」ということだと思います。ベンダー、業界紙、業界アナリストなどなど、ユーザー企業を煽っておいて、すぐに次のまた「仮想市場を作り上げる」ことを繰り返しています。いままでいくつあったでしょうか。SISというのもありましたね(古いですね、笑

ここでも何回か書いてますが「売る側が売った時は想像していない、分からなかったことで、今必要になってきたこと」や「初めからやらなければならかったのに、あとから対応するためにさらにお金を取る」ことがビジネスとして、当たり前になっている、この状況を冷静に考えれば、実に無責任な業界であるといわざる得ないとつくづく思います。

便乗商法は最低です。われわれユーザー企業は、もうそろそろ気づいています。らいおんさんのような方が増えていますので、売る側はあまりなめないで、中堅・中小企業のためを思った提案、製品を示すべきだと思います。
それにしても良い提案は少ないと思いますねえ。最近そんな営業マンは来やしない。ひたすらマニュアルどおりの電話営業、つまらないメール営業、同じ内容のセミナーなどなど、やれやれです。

2007年03月25日 12時37分

回答

おっしゃる通りだと思います。
今更、「j−sox反対」とか言ってもしようがないですし(世界の流れですから)やらなければならないなら 上手にやることを考えるべきでしょう。
他の所でも述べましたが内部統制にITを使うのは有効です効率が高いです。
内部統制は仕組み作りですから「パッケージソフトにしたから済む」わけではありません。
「システムを入れ替えなければならない」という人はよく知らない人です。始末が悪いことに詐欺とかじゃなくて善意でそう思っているのです。(私の会社にも居ます) 考えてみて下さい。「今のシステムに牽制機能を付け、手順を明確にし、リスク管理を付ける」のと「システムを入れ替えた上で牽制機能を付け、手順を明確にし、リスク管理を付ける」のとどっちが楽ですか?「システムを入れ替えなければならない」という人にこうやってぶつけてみましょう。
ということで 内部統制 を 「楽に」実現しましょう。

2007年03月25日 14時38分

あなたもコメントしましょう!