株式会社ノークリサーチ
今回は、前3回のコラムで述べた運用管理と密接な関連がある内部統制について述べたい。
J-SOX法(08年4月以降の事業年度で適用、3月決算企業ならば適用までの猶予は10ヶ月を切る)対策にタイトなスケジューリングを強いられている大企業を横目に、「対岸の火事」とばかりに自社には関係がない、空騒ぎに過ぎなかったのでは?と感じつつある多くの中堅企業の方々に向けて、内部統制とITとの深い関係について今回は述べたい。
J-SOX法適用外企業で内部統制報告書提出義務がないとしても、業務プロセスとITの密着度が高まる今、内部統制の必要性が無い中堅企業というのは存在しないのである。
まずは教科書的な内部統制のおさらいから入る。
米国の巨大不正会計事件に端を発して注目されるようになった内部統制であるが、それには目的と方法が一定のフレームワーク内に収まっている。 それがCOSOフレームワーク(トレッドウェイ委員会組織委員会 the Committee of Sponsoring Organization of the Treadway Commission)というものである。
COSOフレームワークをビジュアル化した立方体を関連書籍やWebサイトで目にした方も多いと思う。 それによると内部統制というのは「業務の効率性・有効性」、「財務報告の信頼性」、「法令遵守」、「資産保全(金融庁指定)」の4つの目的を達成するために、「モニタリング」、「情報と伝達」、「統制活動」、「リスク評価と対応」、「統制環境」、「ITへの対応(金融庁指定)」の6つの基本要素を「本社」、「部・支店」、「事業単位」、「子会社」の各単位で徹底していくということだ。
基本要素について端的に説明を加えると、「モニタリング」とは企業独自のルールが徹底しているかを監視すること。
「情報と伝達」は目的の合致した情報を正確に伝達すること。
「統制活動」は経営者の命令系統を徹底すること。
「リスク評価と対応」は企業活動におけるリスク管理を徹底すること。
「統制環境」は組織内の倫理観や行動規範、文化を養うこと。
そして、これらの要素を整備強化していくためにITを有効活用しようというのが「ITへの対応」である。
但し、内部統制強化のためには必ずしも高額なフィーを支払ってコンサルティングサービスを受けたり、高額な専用ソリューションを新規導入したりしなければならないというわけではない。あくまで、内部統制強化のお役立ちツールとして、世の中にはこういったITソリューションがあるのだ、という意識で次節に目を通してもらいたい。
さて、中堅企業が内部統制強化に取り組む上で、役立つITソリューションをここで紹介する。
ヴァリエーション豊かなITソリューション群の代表格として、「ERP」「サーバ統合・集約/シンクライアント・システム」「セキュリティ」の3つが挙げられる。 特に後者の2つは、広い意味でのITの運用管理、すなわち統合化やセキュリティ強化がITによる内部統制を実現できるツールになるはずだ。
まず「ERP」だが、オフコンと相対的に捉えると、その最大のメリットは同一データベース上で財務会計、人事給与、販売管理などの各モジュールのデータを一元的にリアルタイムに管理出来ることである。内部統制上、ERPは情報の正確性向上、情報伝達リスクの軽減に大いに役立ち4つの目的達成にも貢献するだろう。
続いて「サーバ統合・集約/シンクライアント・システム」は、近頃のハードベンダの一押しのソリューションである。広義で運用管理に含まれる。PCサーバもマルチコアのような高信頼性・低価格サーバは中堅企業に数多く導入されている。
しかしフロント系からバックオフィス系、情報系、その他に至るまで多目的に乱立するサーバは管理・運用・保守上数多くの問題が生じることになる。
例えばセキュリティパッチ更新やソフトウェアのバージョンアップ対応、物理的な設置スペースの問題、情報漏洩対策、TCO削減など挙げればきりがないが、これらが内部統制と密接に関りあうことは明らかだ。
そういったハード資産を、仮想統合ソフトウェアを利用して統合したり、ラック型サーバやブレード型サーバにリプレースすることで物理的なダウンサイジング化を図ったりすることは、内部統制強化に繋がる(サーバ統合・集約への関心は6割に達する)。 同じ問題はクライアントPCについても当てはまり、シンクライアント・システムは今後間違いなく導入が期待されるソリューションのひとつだ(シンクライアント・システムの実際の導入は低いが、関心は4割と高い)。
図1.「サーバ統合・集約化」に関しての考え・対応(N=1,140)
図2.シンクライアント・システムの導入意向(N=712)
最後に「セキュリティ」だが、これも広義で運用管理に含まれる。
個人情報保護法施行後数年が経過する今、ネットワーク上の情報の管理・伝達にセキュアな環境が欠かせないことはあえてここで念を押す必要もあるまい。
内部統制の4つの目的を達成するためには、ウイルスソフトから暗号化ソフト、アクセス管理ソフト、ID管理ソフトに至るまで関連ソリューションが最も充実している分野である。
「内部統制」は、必ずしもITありきでは無い。
内部統制が企業に問うているのは「企業としての正当性、倫理観」だ。実際には、企業のあらゆる経済活動や業務処理は今やIT無しでは成り立たない状況にある。それゆえITが極めて有効なツールとして活用されることが前提になっている訳だ。
つまりITを駆使して統制すれば効率的に目的が達成されることを言い換えたに過ぎない。
内部統制のためのITを新規に導入する必要など全くない。問題は、今まで「内部統制的な視点で、ITを活用していなかった事実」を今一度この機会に見直し、本当に必要なITを「ツール」として取捨選択して導入すればよいのである。
特にその際、ベンダ、SIer、専門コンサルティングファームによる正しいリードが必要になることは言うまでも無い。
今回は内部統制とITの関係について述べた。
「中堅企業の戦略的なIT活用の『肝』はこれだ!」第5回目は、9月中旬更新予定。ご期待ください。