岩谷 誠治
公認会計士、岩谷誠治公認会計士事務所代表

図1 日本における内部統制法制
図1 日本における内部統制法制
[画像のクリックで拡大表示]

 今年5月から、新しい会社法が施行されました。さらに6月には、証券取引法を大幅に改訂した金融商品取引法が成立しています。両法の対象となる会社の範囲には違いがあるものの、いずれの法律も、「内部統制」を適切な水準に整備・運用することを経営者に求めています(図1)。

 これら、一連の内部統制制度の法制化は、ITにも大きな影響を与えます。ただし、いたずらに恐れる必要はありません。求められる要件のほとんどは、従来からのシステム開発においても当然に考慮されていたものです。

 今後は、「財務報告」や「監査」という新たな視点から情報システムを見直すことによって、検出された不備を、一つずつ改善していくことになります。それらを受け身にとらえるのではなく、情報システムの品質向上の一環として積極的に取り組んでいきましょう。

 当コラムでは、日本版SOX法の対応活動の中で、IT部門が果たす役割を考えていきたいと思います。

外部に委託したシステムも対象に含まれる

 日本版SOX法の中核となる金融商品取引法は、金融商品に関する様々な規制を包含したものです。内部統制関連規制は、主に有価証券報告書の提出企業に対するものであり、言い換えれば、上場企業(およびそのグループ会社)が対象になります。

 したがって、それらの企業が保有する情報システムが内部統制規制の対象ということになります。

図2 内部統制評価の対象
図2 内部統制評価の対象
[画像のクリックで拡大表示]

 ただし、日本における内部統制の考え方の基本となる「財務報告に係る内部統制の評価及び監査の基準案」(金融庁企業会計審議会内部統制部会が昨年12月に公開、以降「基準案」)では、外部に委託した業務についても内部統制の評価の対象としています(基準案II.2.(1)の注書)。システム業務の受託先(いわゆるベンダー)もその対象に含まれる点に注意してください(図2)。

日本版SOX法がITに求めるものとは

 日本版SOX法は、情報システムに対して何を求めているのでしょうか。

 基準案では、「ITへの対応」を、内部統制を構成する基本的要素の一つとし、さらに、以下のような注釈が付されています。

「(注)財務報告の信頼性に関しては、ITを度外視しては考えることのできない今日の企業環境を前提に、財務報告プロセスに重要な影響を及ぼすIT環境への対応及び財務報告プロセス自体に組み込まれたITの利用及び統制を適切に考慮し、財務報告の信頼性を担保するために必要な内部統制の基本的要素を整備することが必要になる」(基準案I.2.(6))

 ITの利用が前提となっている現在のビジネス環境では、組織や担当者の分離といった形で行われる人間系の内部統制と、情報システムを利用した内部統制を分けて考えることはできません。むしろ、内部統制の整備とは、情報システムの整備と考えた方が現実的かもしれません。

“アスベスト化”するシステム

 話はそれますが、近年、アスベスト問題が話題になりました。

 かつてアスベストは、経済的な保温断熱材として重宝されていましたが、アスベストに起因する肺がんなどの健康被害の存在が明らかになり、1970年代に使用が制限されました。しかし、最近になってから、潜伏期間を経たアスベストによる健康被害が顕在化し、社会的な問題になったのです。

 現在では、このような健康被害の可能性があることを知りながら国が適切な対応をしてこなかったという「国の不作為」の罪が問われ、アスベスト被害者を救済するための新法も今春から施行されています。

 この「不作為の罪」とはどのようなものでしょうか。

 行政不服審査法の第2条第2項において、次のように定義されています。

「この法律において『不作為』とは、行政庁が法令に基づく申請に対し、相当の期間内になんらかの処分その他公権力の行使に当たる行為をすべきにかかわらず、これをしないことをいう」

 つまり、「行為をすべきにもかかわらず、これをしなかったこと」が罪として問われているのです。

 当然のことながら、当時アスベストを製造・使用していた方々は、断熱・耐熱性の向上に良かれと思っていたのです。それが、結果として大きな悲劇を生んでしまい、さらに、それを放置していたことが罪として問われているのです。

 実は、現在の情報システムも、「アスベスト」と同じ状況に置かれているのです。

 従来のシステム開発の目的は、業務の効率化や合理化であり、その目的を達成するために、多くの資金と工数を投入してきました。

図3 アスベスト問題との関連性
図3 アスベスト問題との関連性
[画像のクリックで拡大表示]

 しかし、これからは、経営者が適切な内部統制制度の整備・運用に責任を有することになりましたから、内部統制上、重大な欠陥があると知りながら、そのシステムを使用し続けることは、「不作為の罪」を問われかねないのです(図3)。

内部統制はITの基本要件

 内部統制制度の法制化にともない、情報システムに携わる者の環境も変化していることを、はっきりと認識しなければなりません。

 今後のシステム開発においても、効率性や合理化を実現していくことは、当然の目標になるでしょう。その一方で、内部統制上、重要な欠陥がないことが、情報システムに求められる基本要件となるのです。

 内部統制という視点を見落としてしまうと、苦労して開発したシステムがアスベストと同じ運命をたどることにもなりかねません。つまり、IT部門の人間が「良かれ」と思って実施した行為が「不作為の罪」に問われかねないのです。

 では、情報システムに携わる者が、身につけるべき内部統制の知識とは、どんなものなのでしょうか。次回は、このことを解説します。

(次回へ)

岩谷 誠治(いわたに せいじ)
公認会計士、システム監査技術者。早稲田大学理工学部卒。化学品メーカーで社内SEとして勤めた後、公認会計士に。監査法人、外資系コンサルティングファームを経て、2001年に独立。現在は、企業組織再編、企業買収、システム監査などの業務に従事。内部統制に関する多数のセミナーで講師を務める(詳細は、こちら)。著書に「超図解 フローチャートでわかる新人SEのための会計&業務の基礎知識」(エクスメディア)や「ビジネスプロセスと会計の接点」(中央経済社)などがある。事務所のURLは、http://www.iwatani-c.com/