アフターJ-SOX 〜内部統制構築技術〜(2)

経営企画室.com 2009-06-01 11:30:00

船井総合研究所の菊地と申します。

アフターJ-SOXとして内部統制について再考する、第二回目の投稿です。

今回は、IT全般統制クローズアップの経緯について考えてみたいと思います。

当初、J-SOX対応というキーワードが広まるレバーとなっていた主体の一つは、IT業界だと思います。つまり、法令遵守の大義名分の下に、システム提案の特需が発生すると期待しての行動です。

ITは、ユーザー側においても技術的先進性に対する認識が強いからか、提供者主導で導入の志向性が決まる傾向があります。その流れの中で、内部統制領域のうちでも、IT全般統制がクローズアップされた経緯があると考えています。その名称からして、IT特需に直結しやすいためです。

 

ここで、あらためてJ-SOXという通称で施行された金融商品取引法について解釈してみます。

金融商品取引法は元々、金融先物取引法、証券取引法、商品ファンド法等、業法レベルでバラバラに制定されていた金融商品の取引に関連する法制を、一括して再整理し、金融商品の取引にかかる混乱や抜け穴のリスクを横断的に抑制しようということで改正されたものです。

特に情報格差から投資者不利にならないよう、金融商品、およびその取引業者、仲介業者等の包括的明確化や情報開示義務、規定抵触時の罰則強化等が規定されています。

そのうち、上場企業の規制として開示書類に関する規定があり、さらにそこであらたに、内部統制報告書の提出義務として追加された部分がJ-SOX相当ということになります。

具体的には、第二章企業内容等の開示、第二十四条の四の四において『事業年度ごとに、(略)財務計算に関する書類その他の情報の適正性を確保するために必要なものとして内閣府令で定める体制について(略)内部統制報告書を(略)提出しなければならない。』という形で規定されています。

そして上述に該当する内閣府令では、公認会計士あるいは監査法人の自署の要請や内部統制報告書に関する基本様式等が提示されており、内部統制の内容としては主に、最高財務責任者相当者の自署、財務報告に係る内部統制の基本的枠組み、評価手続、評価結果等の記載を求めています。

 

ここで考えてみてください。

まず金融商品取引法中では、附則を除き、全二百二十七条あるうちの第二十四条の四の四〜六までの極一部分が内部統制に該当するに過ぎません。

条文の量から重要度を推し量るのは暴論ですが、少なくとも、投資家保護を根幹理念とした金融商品取引法改正にのって、その一改正論点に過ぎない内部統制に関して、J-SOXという呼称でまるで個別法のようにリーガルリスクとして一人歩きして語られるのには違和感があります。

さらに、上述の内部統制に関する法令規定を見たとき、IT全般統制がどうのということについては一言も述べられていないことが分かると思います。

では、IT全般統制という論点はどこから出てきたのかというと、起案時に参照されたCOSO、COBITといったフレームワークの存在や、省提示のガイドライン、会計士協会が出した報告に拠るところが大きいと思います。

私は基本的に、リーガル(法令)リスクと行政的リスクは分けて考えるべきものと考えています。リーガルリスクは、法の半永続性(昨今この、法の根幹が崩れている感はありますが)を鑑み安定的であるのに対し、行政的リスクは時代の潮流や恣意性によって変動的であるからです。

つまり、上記解釈のように、法令リスクとして捉えた場合は内部統制、特にそのうちIT全般統制にフォーカスが当たるのは適切ではなく、本件は恣意性を含んだ行政的リスクとして捉えるべきであって、その変動性を的確に判断した対応が必要になるということです。

そして、当該行政的リスクが自社にとってその時々においてどの程度の影響があるかを内的、および外的ハザード(リスク環境)から継続的に推し量り、リスク領域全体としての対応優先度を判断することがIT全般統制範疇におけるリスク云々の論点に入る前にまず必要になると考えます。

以上、特定業界が企業の営業戦略としてリーガルリスクを訴求するのは今後もあり得ると思いますが、その購買側としては、論点の正当性に常に留意しないと、非効率な投資に流れてしまうと思います。

次回は、上記のようなリスク認識に対する非合理性からくるIT全般統制の誤解について考えてみたいと思います。

 

【関連セミナー】
〜内部統制の対応コストは本当に適正ですか?〜
≪無料≫内部統制コスト削減方法徹底公開セミナー
セミナーの詳細はこちら↓
http://www.funaisoken.co.jp/site/seminar/semina_1242104478_0.html

 

菊地 広記菊地 広記
外資系ITベンダーなど10年間のIT技術者キャリアを経て現職に至る。現職では、チャネル戦略構築、持株会社設立、シェアードサービス会社設立、PMIなどの戦略系コンサルティングと、ITIL、情報セキュリティといったITコンサルティングを経験し、経営戦略とIT戦略の双方に造詣を持つ。コンサルティング活動としては、アウトプット主義を貫きつつディスカッションベースのファシリテーションによって現場をアクティベートする手法を得意とする。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]