「我々のような零細企業には、IT内部統制なんか関係ない」と考える経営者は多い。 個人情報保護法が施行された時にも、同様のことが言われた。
しかし本当にそうだろうか?
現代は競争社会である。 競合他社が対応を始めれば、自社でも早晩対応せざるを得ない。 取引先からも、いずれ、IT内部統制の取り組みについて説明を求められることは想像に難くない。IT統制では、外部委託企業についての統制をも求めているからだ。 実際に取引先から、IT内部統制について細かく指示される場合もあるだろう。
しかし、すべての取引先が委託に向けての指示を徹底してくれるようなケースは、少ないと思われる。なぜなら、規模が大きな会社であればあるほど、自社の対応だけで精いっぱいというところが多いからだ。
こうした会社から見れば、自社基準でIT内部統制を実施しており、あらかじめ申告してくれるような外部委託企業は、手間がかからず、歓迎に値するはずである。 そこで、取引先から説明を求められる前に、あらかじめ自社基準を作り、IT内部統制の取り組みを提示してみてはどうだろうか。 早い段階で、自社基準を提示すれば、競合他社に先駆けることができる。
自社のIT内部統制自主基準ができたら、すぐに取引先に知らせよう。
企業活動において、さまざまな良い取り組みをしているのに、活動を外部に伝えようしない会社は多い。
奥ゆかしいのは、日本人の美徳などと言われるが、ことビジネスの場面においては、使える材料があるなら、とことん使ったほうがいい。 IT内部統制の自主基準ができたのなら、取引先にアピールすれば、相手の担当者も安心できる。 2005年の個人情報保護法施行の前にも、自社の取り組みを取引先とメインバンクにFAXで知らせ、売上を伸ばした零細企業が存在する。 競合他社が、その重要性に気づく前に取り組むことが大切であるということだ。
IT内部統制を100%達成できるか?
IT内部統制に限らず、日本人の気質として100%完全な仕組みを求めることが多い。しかし、人間のやることである以上、「100%完全無欠」な仕組みはそうそう作れるものではない。
もちろん各社では100%に近づける努力をしているだろう。そして経営者は、100%に近づければ近づけるほど膨大な費用と時間がかかることを実感されていると思う。
本連載では、IT内部統制を「100%完全無欠」に実現することは目指さない。 しかしながら、70%程度を最小限のコストでクリアするために必要な考え方と設定を分かりやすく紹介していく。Windows Serverに標準装備されている機能を使い、お金をかけずに、できるだけの事をやってから、浮いたコストをERPなり、電子文書管理なりといったソリューションへの投資に回し、「残りの30%」を埋めていけばいい。