「日本版SOX法(企業改革法)」の可決が目前に迫ってきた。現在開会中の第164回国会に、上場企業に対して内部統制の整備を求めることを含んだ「証券取引法等の一部を改正する法律案」(金融商品取引法)が提出されており、5月から6月にかけて成立する見込みだ。
本サイトをご愛読していただいているIT部門の方々の多くも、現在、内部統制の整備に向かって動き出していることだろう。
ただし、ここでプロジェクトの段取りを誤ると、この先、とんでもない苦労が待ち受けることになる---。過日、ITpro Watchで「CIOへの道」を連載している森岡謙仁氏と話をしていたときに、こんな議論になった。内部統制のプロジェクトのある局面においては、CIO(最高情報責任者)やIT部門が主導権を握らないと、きちんとした体制が作れなくなるのだ。
内部統制を整備するうえで、CIOやIT部門が担う役割は、大きく2つある。「業務処理統制」と「IT全般統制」である。
簡単に説明すると、業務処理統制はアプリケーションの業務フローのなかで財務的な不正が発生しないように処理を修正すること。一方、IT全般統制は不正が発生する可能性のある処理がシステムに実装されないように、開発・運用体制のガバナンスを整備すること、すなわちITガバナンスのことだ。
このうち、IT全般統制を軽視すると、これから先、監査のたびにゼロから業務処理統制、すなわちアプリケーションの業務フローの棚卸しと修正を実施し続けなくてはならなくなる。日々のシステム開発・運用のなかで不正が発生する可能性を否定できなくなるからだ。
金融商品取引法が求める内部統制の主眼は、財務的な不正が発生しないことである。このため、内部統制のプロジェクトでは財務部や経理部が主導権を握ることが多い。
当然、これらの部門はITガバナンスへの興味が薄く、注力するのは業務フローにおいて不正が発生しないように対策を打つことだ。そのために、アプリケーションの業務フローにおける不備に対しては厳しくチェックするだろうし、その改善のためにIT部門に協力を求めるだろう。基幹システムの修正にまで及ぶことも多いだろうから、IT部門は激烈に忙しくなる。となると、IT全般統制のために時間が割けなくなるというわけだ。
このような状況に対して、森岡氏は、CIOが主導して、ほかの部門と連携することが必要だと主張する。「ITガバナンスを構築する際には、CIOのほかに、CEO(最高経営責任者)、CFO(最高財務責任者)、執行役員、開発責任者、業務プロセスオーナーはもちろんのこと、コンプライアンスや監査、リスク、セキュリティなどの責任部署が有機的に連携することが不可欠」だという。
さらに、「IT全般統制では、アプリケーション・システムの開発と保守、OSやデータベースなどシステム環境の構築と保守、セキュリティの管理、データセンター業務の運営管理についての統制などが求められている。これらは、他部署との連携が必要とはいえ、どうみてもIT部門の中核業務であり、このリーダーシップを他部署に譲れば、IT部門の存在は無いに等しい」とまで言い切る。森岡氏は、日経ビジネススクールで「CIO養成講座」の講師を務めており、そのプログラムのなかでも、内部統制においてCIOがリーダーシップを握ることの重要性を説いている。
これから先、IT部門が毎年の業務全般統制に振り回されないようにするためには、CIOがリーダーシップを握ってIT全般統制を整備することが欠かせないのだ。
