内部統制制度の法制化にともない,情報システムに携わる者の環境も変化していることを,はっきりと認識しなければなりません。Part1では,日本版SOX法が,情報システムに対して何を求めているのかを解説していきます。

 2006年5月から新しい「会社法」が施行されました。さらに「証券取引法」は「金融商品取引法」へと大幅な改正が行われています。両法の対象となる会社の範囲には違いがあるものの,いずれの法律も,「内部統制」を適切な水準に整備・運用することを経営者に求めています(図1)。

図1●日本における内部統制法制
図1●日本における内部統制法制

 これら,一連の内部統制制度の法制化は,ITにも大きな影響を与えます。ただし,いたずらに恐れる必要はありません。求められている要件のほとんどは,従来からのシステム開発においても当然考慮されていたものだからです。

 これからは,「財務報告」や「監査」という新たな視点から情報システムを見直すことによって,検出された不備を,一つづつ改善していくことになります。

 この講座では,日本版SOX法と呼ばれる内部統制規制への対応活動の中で,IT部門が果たす役割を説明していきます。

外部に委託したシステムも対象に含まれる

 金融商品取引法による内部統制規制については,上場企業(およびそのグループ会社)が対象になります。したがって,それらの企業が保有する情報システムも内部統制規制の対象ということになります。

 ただし,日本における内部統制の考え方の基本となる「財務報告に係る内部統制の評価及び監査の基準」(企業会計審議会 内部統制部会が2007年2月に公表。以下「基準」)においては,外部に委託した業務についても内部統制の評価対象としていますから(基準II.2.(1)の注)。システム業務の受託先(いわゆるITベンダー)もその対象に含まれる点に注意してください(図2)。

図2●内部統制の評価対象
図2●内部統制の評価対象

日本版SOX法がITに求めるものとは

 日本版SOX法は,情報システムに対して何を求めているのでしょうか。

 基準では,「ITへの対応」が,内部統制を構成する基本的要素のひとつとされ,さらに,以下のような注釈が付されています。

 財務報告の信頼性に関しては,ITを度外視しては考えることのできない今日の企業環境を前提に,財務報告プロセスに重要な影響を及ぼすIT環境への対応及び財務報告プロセス自体に組み込まれたITの利用及び統制を適切に考慮し,財務報告の信頼性を担保するために必要な内部統制の基本的要素を整備することが必要になる。(基準I.2.(6)の注)

 ITの利用が前提となっている現在のビジネス環境では,組織や担当者の分離といった形で行われる人間系の内部統制と,情報システムを利用した内部統制を分けて考えることはできません。むしろ,内部統制の整備とは,情報システムの整備と考えた方が現実的かもしれません。

“アスベスト化”するシステム

 話はそれますが,近年,アスベスト問題が話題になりました。

 かつてアスベストは,経済的な保温断熱材として重宝されていましたが,アスベストに起因する肺がんなどの健康被害の存在が明らかになり,1970年代に使用が制限されました。しかし,最近になってから,潜伏期間を経たアスベストによる健康被害が顕在化し,社会的な問題になったのです。

 現在では,このような健康被害の可能性があることを知りながら国が適切な対応をしてこなかったという「国の不作為」の罪が問われ,アスベスト被害者を救済するための新法も施行されました。

 この「不作為の罪」とはどのようなものでしょうか。

 「行政不服審査法」第2条第2項において,次のように定義されています。

 この法律において「不作為」とは,行政庁が法令に基づく申請に対し,相当の期間内になんらかの処分その他公権力の行使に当たる行為をすべきにかかわらず,これをしないことをいう。

 つまり,「行為をすべきにもかかわらず,これをしなかったこと」が罪として問われているのです。

 当然のことながら,当時アスベストを製造・使用していた方々は,断熱・耐熱性の向上に良かれと思って行ってきたのです。それが,結果として大きな悲劇を生んでしまい,さらに,それを放置していたことが罪として問われているのです。

 実は,現在の情報システムも,「アスベスト」と同じ状況に置かれています。

 従来のシステム開発の目的は,業務の効率化や合理化であり,その目的を達成するために,多くの資金と工数を投入してきました。

 しかし,これからは,経営者が適切な内部統制制度の整備・運用に責任を有することになりましたから,内部統制上,重大な欠陥があると知りながら,そのシステムを使用し続けることは,「不作為の罪」を問われかねないのです(図3)。

図3●アスベスト問題との関連性
図3●アスベスト問題との関連性

内部統制はITの基本要件

 内部統制制度の法制化にともない,情報システムに携わる者の環境も変化していることを,はっきりと認識しなければなりません。

 今後のシステム開発においても,効率性や合理化を実現していくことは,当然の目標になるでしょう。その一方で,内部統制上,重要な欠陥がないことが,ITシステムに求められる基本要件となるのです。

 内部統制という視点を見落としてしまうと,苦労して開発したシステムがアスベストと同じ運命をたどることにもなりかねません。つまり,IT部門の人間が「良かれ」と思って実施した行為が「不作為の罪」に問われかねないのです。