Special Issue
<IT統制ソリューション特集>コンプライアンスの欠如が大きな事件・事故につながる
2008/09/25 19:56
週刊BCN 2008年09月22日vol.1252掲載
内部統制の構築は上場企業だけで終わらない
またもや偽装事件 関連業界への影響も甚大米穀類の製粉や加工、販売を主な業務とする三笠フーズグループが、農薬やカビ毒に汚染された事故米を食用として不正に転売した事件が明るみに出た。事件の内容はメディアで詳しく報道されているが、1キロ3-12円程度で仕入れた事故米を70円程度で転売し、利ざやを稼いでいた。また、汚染された事故米を食用米とするために帳簿取引を重ねたことも報道されている。
農林水産省が2008年9月9日に発表した「非食用の事故米穀の不正規流通米の回収について(第3報)」によると、三笠フーズが仕入れた汚染米は酒造会社や米穀・加工会社、肥料会社などに転売されていたことがわかる。日々明らかになる転売先に、関連業界の企業は戦々恐々としているだろう。今後は、風評被害なども問題となってくる。実際に「安全」な商品を提供していたとしても、消費者からの信頼が失墜したままでは購買に結びつかない。業界全体が大きな打撃を受けている。
汚染米を購入した酒造会社は自主回収を始めており、その被害額は膨大なものとなっている。「ミートホープ」や「船場吉兆」なども同様だが、儲けに目がくらんで消費者不在の食品偽装を行う事件が相次いでいる。
また、食品偽装事件のみならず、ライブドアなどによる粉飾決算事件、NHK職員や日本経済新聞社社員によるインサイダー取引疑惑など、コンプライアンスの欠如から発生している事件・事故も後を絶たない。
これらの事件・事故を引き起こした企業は、顧客や取引先からの信頼を大きく失墜している。こういった事件・事故が市場経済に与える影響は計りしれないのだ。ライブドア・ショックが株式の暴落を引き起こしたのは06年のことであるが、人々の脳裏にはいまだ生々しく残っている。一度失った信頼を取り戻すのは並大抵ではない。それを軌道修正するために国が行った施策の1つが、新会社法や日本版SOX法などの法整備だ。特に、日本版SOX法を含む「金融商品取引法」の施行では、上場企業に対し08年4月以降の事業年度から財務報告が適正に行われていることを示す「内部統制報告書」の提出が義務づけられている。
内部統制においてもIT統制は重要な要素
「金融商品取引法」により「内部統制報告書」の提出が義務付けられているのは上場企業だが、実際は上場企業だけでなく、取引のある中堅・中小企業に至るまで内部統制の整備が求められる。いくら上場企業だけが内部統制を整備したとしても、サプライチェーンが構築されている場合、取引先の企業も上場企業と同程度の内部統制を構築していなければ、そこが“穴”となってしまうためだ。
「汚染米」の話を例にとると、三笠グループの食品偽装は、非常に多くの業界に対して打撃を与えていることがわかる。つまり、上流から下流までの商流で、関連する企業やグループの一部でも問題があれば、最終的な結果も疑わしいというのは自明の理だ。上場企業が「内部統制報告書」を作成するに当たり、取引先の企業にも内部統制の構築を求めるのは、むしろ自然の流れと言えるだろう。
内部統制の構築は必須ではあるが、一朝一夕には整備できない。しかし、取引先から求められるようになるのは必至だ。そのため、内部統制の整備は急務とされているのだ。取引条件に含まれてから対策を施していては、内部統制の構築は到底間に合わない。
内部統制を実現する6つの基本要素として、(1)内部統制の基礎となる「統制環境」、(2)経営リスクを認識し、そのリスクに対応する方針を決定する「リスク評価と対応」、(3)指示、命令などが適切に実行されるための方針・手続きなどを定める「統制活動」、(4)必要な情報を関係する組織などに適切に伝える「情報と伝達」、(5)内部統制の有効性・効率性を監視・評価する「モニタリング」、(6)組織目標を達成するためにあらかじめ適切な方針や手続きを定め、ITに応用する「ITへの対応」――が挙げられる。特に「ITへの対応」は、(1)から(5)までのすべての項目に関連するため、非常に重要な基本要素であるといえよう。
内部統制といえば、財務諸表にかかわる部分にフォーカスがあたることが多いが、企業活動にITが欠かせない現在、IT統制は極めて重要となっている。
IT統制を構築する場合、経済産業省が公表した「システム管理基準追補版(財務報告に係るIT統制ガイダンス)」や企業会計審議会が公表した「財務報告にかかる内部統制の評価および監査の基準ならびに財務報告にかかる内部統制の評価および監査に関する実施基準案の設定について(意見書)」などを読み解きながら、企業ごとの要件に当てはめ、必要なツールを導入・運用していく必要があるだろう。
しかし、やみくもに対策製品を導入していくとツールの管理だけで管理工数が増大し、本来の業務に集中できなくなる。また、ツール間の相性や企業で使っている業務システムとの相性などの検証も必要となり、万が一トラブルが発生した場合、システムのダウンタイムが長引く事態も想定される。
そうならないためには、管理工数を抑えながら運用する必要がある。企業に蓄積されている情報やIT資産などを「棚卸し」し、必要な対策を実施していくといいだろう。このことは、企業システムを「可視化」することにもつながる。
企業システムの「可視化」には、IT資産管理ツールの活用が有効だ。資産管理ツールは、クライアントPCのインベントリ情報を取得し、ハードウェア構成やソフトウェア構成の台帳を作成できる。つまり、リアルタイムに企業システムの現状を把握できるようになるのだ。
「可視化」は、IT統制を推し進めるだけではなく、PマークやISMSを取得したユーザーがPDCAのサイクルを回す際にも活用できる。さらに「ユーザーのセキュリティ意識を高める」ため、セキュリティポリシに違反した場合、警告を発するものもある。つまり、情報システムだけでなく、「人」にまで踏み込んだ対策を実現しようとしているのだ。
実際、そこまで踏み込めるベンダーはまだ少ないが、これから少しずつ増えていく可能性は非常に高い。
インターコム / クオリティ