内部統制強化の時代に突入！
情報システム部門の内部統制とは

　今回は，情報システム部門の内部統制についてお話します。

「チョット，言わせて」コーナー：これまでは「少数精鋭」で良かったが

　情報システム部門の変革が叫ばれたのは，2000年問題の前，「ホストコンピュータを捨てよう，これからは，オープンシステムだ，ダウンサイジングに乗り遅れるな！」という時期でした。バブル崩壊後ということもあって，「情報システム関連費用を抑えること」が大きな経営課題でもありました。この流れの中で，「情報システムの小型化・低コスト化とPCのネットワーク化」が，驚異的な速度で企業・社会に浸透していきました。この時の変革のテーマは，「情報システム部門の少数精鋭化」でした。

内部統制強化の時代へ突入！

　日本版SOX法の話となると，「経営者は，財務報告と内部統制報告書に宣誓署名することが義務付けられる」ところばかりが強調されがちです。しかし，その本質については，司法判断が先行する形，例えば，大和銀行事件の判決（2000年），神戸製鋼所事件の裁判所の所見（2002年）で，既に出ています。

　記憶に新しいところでは，西武鉄道，アソシエント・テクノロジー，伊豆箱根鉄道，カネボウなどが，上場廃止となった事件から分かるように，その本質は，「企業が行うべき財務報告の信頼性を担保する内部統制システムの構築とその有効性の評価」ということであり，今後は社会的に常識化していくと見てよいでしょう。

　確認するまでもなく，新会社法の施行で「企業(取締役)は，内部統制システムを整備する責務がある」ことが決定的になるのです。

情報システム部門の内部統制とは

　そもそも内部統制は，その目的が示すように，企業全体にかかわる「財務報告の信頼性」「業務の有効性と効率性」「法令の順守」「資産の保全」のために行います。

　情報システム部門で内部統制に取り組む場合は，企業で取り組む内部統制目的全体の縮小版に取り組むイメージとなります。すなわち，情報システム部門における「財務報告の信頼性」「業務の有効性と効率性」「法令の順守」「資産の保全」のために行います。具体的に，何をするのか，概要を説明しましょう。

1.「財務報告の信頼性」

　情報システム部門における日常の経費管理，外部委託契約管理（見積り含む），外注費管理，ソフトウエア開発費の資産計上や売上の管理，IT資産の購入と売却の管理，情報システム部員の人件費の管理，派遣社員の人件費の管理，リース物件の会計管理などについての業務フロー，書式，規約の整備が必要です。

　会計部門や管理部門と連携して，これらを文書化することが求められます。

　その上で，リスクの箇所を特定するとともに，それを防ぐ統制（コントロール方法・手続き）内容も，先の業務フローと整合させて文書化するのです。

2．「業務の有効性と効率性」

　情報システム部門の目的を実現するために業務活動の有効性および効率性を高めることを言います。この有効性をどのように解釈するかですが。企業における情報システム部門の存在目的の第一は，「ITガバナンスを実現する主導的な役割」です。このことから，情報システム部門に求められる「業務の有効性と効率性」は，「ITガバナンスを実現する」ために行う情報システム部門の業務のすべてが対象になります。

　従って，一般にITプロセスという「計画と組織化」「調達と実装」「供給と支援」「監視と評価」の各プロセスが，文書化とコントロールの対象となります。

　このプロセスの内容と統制目標については，COBITを参照することで，知ることができます。CIOであれば，自ら進んで学習することが望まれます。

　ただ，COBITは，内部統制強化の具体的な方法について記述していないことに注意が必要です。具体的な実務につては専門家に依頼したり，講習を受けるなどして整備することが望ましいでしょう。日経ビジネススクール「CIO養成講座」で実際の手順や進め方をお話する予定です。

3．「法令の順守」

　情報システム部門の業務活動にかかわる法令その他の規範の順守のことです。

　情報システム部門の業務活動で関係する法規則類としては，一般略称ですが，新会社法，商法，民法，特許法，商標法，労働基準法，労働者派遣法，男女雇用均等法，著作権法，不正アクセス禁止法，個人情報保護法，下請代金支払遅延等防止法，セクハラ防止対策，プロバイダー責任制限法，電子署名法，電子消費者契約法，特定電子メール送信適正化法，電子文書法（平成17年4月1日施行），公益通報者保護法（平成18年4月1日施行）などがあります。

　一つ一つの説明は，別の機会にしますが，CIOとして，情報システム部門の業務に関係すると思われる部分について，自ら知るのはもちろん，部下に教育すること，その記録をとることまで求められます。日頃の部下指導の中で，情報システム部内の業務活動の規範となるように教育指導を徹底してください。

4．「資産の保全」

　設備や資産の他，IT資産（ハードウエア，ソフトウエア，ライセンスなど），個人情報，営業機密，知的財産について，会社の資産を守ることは，もちろん，他人の権利をも守ることです。具体的には，情報システム部門での資産の取得，使用や処分を正当な手続きと承認の前提で行われなければいけません。さらに，情報システム部門では，これらの資産の正当な取得はもちろんのこと，正当に取得し使用した資産であっても，廃棄する場合には，企業機密や個人情報が第三者に渡らないような手続きを会社として定め，情報システム部門のメンバーは，それを確実に実施することが義務づけられます。

　資産とその権利の移転（取得，移動，廃棄または売却）については，確実な証拠と記録が求められることは，言うまでもありません。資産の保全は，「財務報告の信頼性」「法令の順守」と密接です。文書化の要領は，上述と同じです。

CIO川柳コーナー

　前回の川柳である「プロジェクト　7割以上　打つあいつ」の意味するところを説明します。

　「プロジェクト」は，ITプロジェクトを意味します。開始前に，契約書をアウトソーシングパートナーと取り交わさないまでも，プロジェクト計画書を作成するITプロジェクトがこの場合，該当します。

　「7割以上」とは，該当プロジェクトの数を分母にして，契約書や計画書に決めた「費用，期待効果，日程」のとおり完了したものを成功プロジェクト数として分子にします。

　さて，何割が成功したでしょうか。　一般に，このような考え方でのITプロジェクトの成功率は，3割といわれています。プロジェクトの規模にもよります。大きなプロジェクトほど，成功率が落ちます。大きいITプロジェクトは，一般に長期間続き，取り返しの機会も多いのですが，その分，WBS（Work Breakdown Structure）も多く，関係者も多人数，ITの技術要素も多くなり，複数ベンダー当たり前となるため，進捗の整合性を取るのに高度な能力が要求されます。

　CIOであれば，数カ月から1年程度のプロジェクトは，「7割以上　打つあいつ」と呼ばれるのが，普通です。1年以上の長期にわたるもの，大規模なものでも，この数字に近づくための学習と，経験が必要です。

　3割程度の成功率では，CIOどころか，プロジェクト・マネージャーやリーダーとしても不合格といわれても仕方ありません。

この句は，次回に解説します。皆様も考えてみてください。