内部統制(金融商品取引法にいう)の本格実施に入った段階において,IT内部統制のムダが気になるところです。このことは,監査法人やコンサルタントなど外部の専門家任せでスタートする多くの企業が,共通に抱える課題かもしれません。
CIOには,この本格実施の初期の段階において,IT内部統制の最終チェックをする機会が与えられています。
内部統制は,「小さく産んで,小さく育てる」
昔から,人の誕生を例えて,「小さく産んで,大きく育てる」と,よく言われています。
ところが,内部統制はどうでしょうか。
もし,「小さく産んで,大きく育てる」心構えで進めたら,統制活動の規約をはじめ諸規定など文書類が増えるのは避けられません。その結果,内部統制を従業員に周知させるための教育や,内部統制の有効性を評価するためのモニタリングと評価,監査や内部統制の改定に要するコストと時間は,膨大ものになるはずです。
内部統制にかかる手間を必要以上に増やすことは,避けるべきですし,自社で重要でない内部統制までも組み込む可能性が増えることは,本末転倒です。
内部統制に組み込まれるIT内部統制についても,同様のことが言えます。
IT内部統制の「ムダ取り」のヒント
特に,「財務報告に係る内部統制」の本格実施の初期の段階において,CIOが「ムダ取り」に着眼し,IT内部統制の運用の指揮を執れば,「ITに係る内部統制」の仕組みを「過度かつ肥大化」させなくて済むに違いありません。
それでは,CIOがもつべきIT内部統制の「ムダ取り」の視点ですが,下の図をご覧ください。
 |
| [画像のクリックで拡大表示] |
順序として,まず,金融庁が公表した 「内部統制報告制度に関する11の誤解 」(平成20年3月11日)をよく読むことです。
上の図では,この文書に記載されている11の「誤解」と「実際」の項に記述されている部分を筆者が要約したものを記載しています。
ここから,内部統制全体について必要な「ムダ取り」の視点を理解することができます。特に,文書化のヒント(内部統制報告制度に関する11の誤解の2項目)は,今後の金融庁の同制度の舵取りもあわせて期待できる,という意味で大いに参考になるところです。
次に,お勧めなのが,日本公認会計士協会が公表している, IT委員会研究報告第35号「ITに係る内部統制の枠組み」です。これを読み込むことで,監査法人が考えていると思われるIT内部統制の概念と理論的な枠組みを理解することが可能です。
これも,IT内部統制の「ムダ取り」の視点を理解するヒントになるという点で, 大いに参考になります。
CIOとIT組織(IT部門含む)が行うべき,IT内部統制の枠組の詳細については,筆者が講師を勤める, 「CIO養成講座」でも解説しています。
IT内部統制の「ムダ取り」を通して,IT資源(COBITに云う,インフラ,アプリケーション,情報,人)を有効活用し,経営に対し最大の貢献をすることは,CIOの本来の仕事だと考えられます。
少ないルールで,「財務報告の信頼性が保証できる」とすれば,これに勝るものは,ないのではないでしょうか。
CIO川柳 コーナー
前回の川柳である「IT戦略 社長を超えて 会社去る」を説明します。
これもある大手企業のCIOに聞いた話です。
「ベンダーやコンサルから良い提案をもらい,社内提案したところ,最終的に社長の承認が得られず,議論の末,退職した」というY氏の話です。
結局,彼は,別の企業に転職して,「今は,社長とうまくやっている」ということでした。
社長がIT戦略に対して解らない理解がないという意味で悲しいことなのか,CIOが行う社内のマーケテイング能力が弱いのかは,個別ケースでありどちらともいえません。このような例は,いくつも聞いています。
財務報告に係るIT戦略にとどまらず,全社のITガバナンスの構築と能力向上が,CIOの本来の仕事だとすれば,社長との二人三脚をどのような内容で維持できるか,永遠の課題といえそうです。
次の句は次回に説明します。皆様も,考えてください。
