私はIT(情報技術)ベンダーのシステムエンジニア職を経て、東証1部上場(当時)電源メーカーにて営業本部長やCIO(最高情報責任者)を務め、2008年から2年間インド系IT企業社長を務めた後に独立系のITコンサルタントをしています。いわばIT業界とユーザーを交互に経験してきたわけです。
前職ではERP(統合基幹業務)パッケージ導入やJ-SOX法(金融商品取引法)を手掛けました。J-SOX法対策については理想とする完璧な仕組みの完了を待たず退職しましたが、「動的対策」をないがしろにして「静的対策」で対応を一段落させてしまう日本企業が多いことに違和感を抱いていました。ITツールを売る側に回り、ますますそれを痛感しているところです。
ここで私が言う静的対策とは初期的なもので、業務ルールの見直しやセキュリティポリシーの策定を指します。動的対策とは各種データへのアクセス制御やワークフロー管理など、日々のルーチン作業を24時間物理的に制御・チェックする仕組み作りを指しています。静的対策は紙だけで成果物を残せますが、動的対策にはITツールの活用が不可欠です。
今の仕事に就いてから動的対策の重要性を訴え続けているのですが、ユーザー側からの反応は「杞憂(きゆう)だ」「そこまでやるつもりはない」。揚げ句に「監査法人がそこまでやる必要は無いと言っているのに、なぜあなたがそこまで要求するの?」とお叱りを受けることさえあります。
ある上場企業に価格決定プロセスのワークフローの導入を勧めた際には「当社は注文をもらった後に仕入れ値が決定されるケースが有るので、ワークフローを導入すると現場が混乱する」と提案を一蹴されました。この発言は現場視点からの意見なのでしょうが、仕入れ価格が決定する前に販売価格が決まり、利益見込みも無いままに注文書をもらうということに対するコンプライアンス上の問題意識は端からお持ちでないようでした。にもかかわらず紙作り(業務フロー図、業務記述書、リスク・コントロール・マトリクスのいわゆる「3点セット」作り)に対しては人・物・金・時間・情報という貴重な経営資源を投入しているのです。非常におかしい話だとは思いませんか。
動的対策に対する無理解に接しても「最低限の動的対策を講じない企業には不正業務を抑止できない」という私の信念は揺らぎません。皆さんのご記憶に新しいことと思いますが、以前、茨城県国民健康保険団体連合会の会計課主任が10億円もの大金を横領し、徳島県にて土地改良区の経理担当の嘱託職員が6億円も横領していたという事件がありました。官の側がこのような現状では、民間企業の経営者の方々がリスクに鈍感なのは当然なことなのでしょうか。これを他山の石として、不正が生まれるシステム上の不備や抜け穴にもっと強い危機感を持つべきではないでしょうか。
海外におけるSOX法対策への取り組みと比較すると、官民問わず日本の組織は性善説によってマネジメントする傾向が強いように感じられます。もしあなたや周囲の社員が、誰にも気づかれず会社のお金を自由に引き出せるシステムの欠陥を発見したらどうなるでしょう?ほとんどの方はその欠陥を報告し、改善するのでしょうが、そうならないリスクもあることは上述した事件が示しています。不正を行えるシステム上の不備を知った従業員の心に一瞬でも魔がさせば、犯罪者に変貌(へんぼう)してしまう可能性があるのです。
システムの欠陥や不備に鈍感な日本企業の経営者は、従業員や幹部社員のモラルの高さに甘えていると言っても過言ではありません。ITツールを売り込むベンダー自身もこの点をあまりきちんと認識していません。2008年8月には大手情報機器メーカーの社員が架空の顧客企業から注文を受けたように装い、会社名義で商社から仕入れたパソコン約2100台(4億3700万円相当)の売り上げを着服するという事件がありました。詳細は存じませんが、架空の顧客や架空口座を一個人がシステム上で作成し、注文も無いのに数千台のパソコンを仕入れて換金していたとのこと。数年前から同様の不正を繰り返し、換金して得た現金を前回発注分の支払いに充てるというプロセスを数年続けられたことにはただ驚くばかりです。
しかも皮肉なことにこの大手情報機器メーカーは、米国法人でSOX法の監査を受けた経験や、自社内で有効性を検証済みの対策を持つことをうたって、コンプライアンス対策のコンサルティングを行っていました。このメーカー自身、「3点セット」の作成を中心とした静的対策にしか目を向けていなかったのではないかと疑わざるを得ないのです。動的対策――すなわちアクセス制御・SOD(職務分掌)制御・価格決定プロセス制御などが導入されておれば、何年もそのような状況が放置されることは有り得ないからです。動的対策に無関心な企業が多過ぎることに苛立ちを抱いてきた私は、この事件の報に接していくぶん溜飲が下がったというのが本音です。
日々の業務において不正をチェックできるITの仕組みを導入せずに監査法人からJ-SOX法対応のお墨付きを得たところで、体裁を取り繕ったに過ぎません。不正な業務を防止しようという本来の目的を果たしたことにはならないのです。
独立系IT・ビジネスコンサルティング企業、株式会社MORE・CAL代表取締役社長
1957年生まれ。CSKを経て、1985年にネミック・ラムダ(現TDK-Lambda)入社。同社にて取締役マーケティング本部長や海外子会社社長、執行役員BPR推進室長、執行役員情報システム本部長、執行役員管理本部長を務めERPの全社導入やJ-SOX法対策を指揮し、インド系IT企業の代表者をした後に独立。2010年4月より現職。株式会社MORE・CALのホームページ。ITproにて『“抵抗勢力”とは、こう戦え!』を連載。
