金融商品取引法の対象企業の多くは,残された時間の中で,内部統制対策を進めている。私は,IT内部統制構築のアドバイスをしていて気づくのですが,「このブームもそろそろ終わりか」ということです。きっと,このことに気づいているCIOも,少なくないでしょう。
「内部統制ブーム」とは,何か。
監査法人やコンサルタントの指導を受け,それに従って「中身が必ずしも伴っていない内部統制を固めていく」,このことを「内部統制ブーム」と呼ぶことにします。
内部監査室も経営企画室も財務部門も,当の主役である社長も内部統制の本質に気づかないで,外部専門家の指導を鵜呑みにして,「3点セットと呼ばれる書類作成」などで対策を進めている企業が多いのではないでしょうか。
一段落すれば,「今の情熱は冷めかねない」と心配するのは,私ばかりでないでしょう。
忘れ去られた「IT内部統制」の本質
金融商品取引法が求める内部統制が,「財務報告の信頼性を担保する内部統制の適切性」を主目的とする限り,IT内部統制に本来求められている使命の全般については,その根拠を別の要求事項に求める必要があるのは明らかです。
「企業価値を支える有力な仕組みの一つは,経営資源全般に関する情報管理とその伝達,および制御システムです」。ここにIT内部統制の本質的な意味があり,全社で取り組むべき,社会的に価値ありと評価され得る,ITガバナンスの仕組みづくりがあります。
IT内部統制が確立しなければ,財務報告の信頼性が保証できないばかりか,技術情報,品質情報,人事情報や顧客情報などの経営資源に関する情報の信頼性を保証する仕組みを確立することが困難となり,いつでも企業価値を毀損するリスクに見舞われます。
このような状況を放置すれば,経営トップの違法な意向や企業の長年の悪習を未然に防止できないなど,統制環境の不備を許す結果となります。
ポスト「内部統制ブーム」に備えて
心あるCIOは,「内部統制ブーム」の終焉を心配しているのではないでしょうか。せっかくのITガバナンスに取り組む潮流が来ているのに,そこに気づかないか,まだ乗り切れていない。
IT内部統制を構築するためには,COBIT,ITIL,ISO27001,PMBOK,CMMIをはじめとする,多数のベストプラクティスやスンンダードの定着が必要です。
CIOは,これらのベストプラクティスとスタンダードについて,その勘所をおさえるバランスの取れた理解を深めるとともに,IT部門と組織全体に定着させる試みを,今から始めることが望まれます。
CIO川柳コーナー
前回の川柳である「トラブルも 平静装う 打ち合わせ」を説明します。
トラブルには,蓋(ふた)をしたいものです。特に,システム開発プロジェクトの進捗会議の場では,出席者の間で「互いの非は,話さない(触れまい)」という,暗黙の紳士協定ができていることが多いのです。
部外者からこれを見ると異状に感じられます。システムもこのプロジェクト運営も,確実にリスクを増大させているにもかかわらず,関係者がおとなしくなっているのです。
このプロジェクトが大事に陥った場合,責任逃れの言い訳を温存しているかに見えるときがあります。
プロジェクトリーダーの力量が試されるのは,こんな場面です。リスクの洗い出しと対策は,定例会ならずとも打ち合わせ時の必須議題のはずです。
次の句は次回に説明します。皆様も,考えてください。
