IT業界の二匹目のドジョウ
こんにちは、丸山満彦です。去年の今頃は、個人情報保護法関連の話ばかりでしたが、最近少なくなってきましたね。論点はいっぱいあるのにね。そういう論点をあまり気にしないIT業界は、とりあえず次の稼ぎ口を気にしなければなりません(株式会社は、営利社団法人ですから当然です)。 で、最近脚光を浴びているのが、e文書法ではなくて・・・・
内部統制ですね・・・
コンプライアンスを意識した経営をしなければならないので、新たな法律ができると、IT業界が盛り上がる場合があります。個人情報保護法がそうでしたね。コンピュータからの情報漏えい・・・それを防止するための様々なソフトウェアが開発されましたね。需要が供給サイドを刺激し、技術の進歩(すごい進歩ではないかもしれないけど、新しい機能とか価格が安くなるとか・・・そういうのも含めて)を促した良いパターンでした。
一方、e文書法は盛り上がりませんでしたね。佐藤さんのブログにも書いているけど当然で、「~することができる。」という法律だからですね。個人情報保護法は「~しなければならない」という法律ですから、自ずと違ってきますよね。
で、次に盛り上がっているのが、日本版サーベンス・オクスリー法関係ですね。(IT弁護士さんは、去年の今頃から予想していましたね。)
現在、金融庁企業会計審議会内部統制部会で検討されていますね。日本にもサーベンス・オクスリー法のような法律をつくり、粉飾決算を無くそう・・・という話です。そのために、財務諸表を作成する全てのプロセスのチェック体制(正確にいうと内部統制)を経営者が評価して、監査法人が監査する仕組みを法改正を行ってしようという話です。
会計処理は今やコンピュータなしではできませんので、会計処理をするコンピュータ環境も内部統制の評価対象となります。で、ここに内部統制がないとまずいんです。ということで、IT業界が新しい製品を売り出していますね。
たとえば、「材料を購入する場合、承認され登録されている仕入先からのみ購買できるように、購買伝票を入れるシステムの購買先欄がプルダウンメニューからしか選ばれないようになっている。」というのも統制活動として評価対象だし、そのような統制活動を保証するための、「購買システムのプログラムは、承認されたもの以外が変更できないようにアクセス制御がされている」ということも評価対象となります。さらに、「アクセス制御をするための手続きが整備され、承認されたもの以外にアクセス権が付与されないようになっている」というのも、評価対象となりえますね。
その他、開発・保守、システム運用、アクセス権の付与、物理的セキュリティっといった部分も関係してきますね。
まだ公開草案の回答もでていないし、そもそも法改正の具体的な話もみえてきていないので、なんともいえないところです。ただ、米国のSOX法と同じと思えば、やることは大体見えてきますね。
まぁ、「個人情報保護法完全対応!×××システム」ってノリで、「日本版SOX完全対応!○○○システム」ってのがたくさん出てくるのでしょうね。これで技術進歩が進めばまぁよいですが、行き過ぎた宣伝は良くないので、その点にはご注意を・・・
ということで、二匹目のドジョウはいるか?
このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。
« 厚生労働省の見解? 医療機関への捜査照会・協力は可能 | Main | COSO Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting exposure draft »
Comments
下道です。
仰るとおり!ばりばりのIT業界の人間の私でも「あれが内部統制ソリューション????」なんてのがたくさん、ITベンダーからでてますね。よくてどっかのWebページからCOSOフレームワーク図とかはりつけて、それらしく見せても、「このソフトを入れれば完璧!」なんて結論づけたり。
本来であれば、「誰の為の内部統制か?」ということを考えるべきでしょうが、草案にせよ、こうして期限を設けて、しかも金融庁へのレポートということになれば、まずはなにかしらの「結果」を出さねばならないと、各企業が必死になるのは仕方がないことだと思います。ただ、本来であれば、内部統制とは投資家を含めた社会全体に対して、「正しいことを正しく行われる仕組み」を証明していくことですから、単に財務報告だけに済まないはずですよね。もし、財務報告だけならば、業務統制をちょこっといじって、報告書だけ出してしまう、、というような小手先での対応になってしまうのではと心配になります。
本来であれば、マルチベンダー、マルチOSの情報システムにおいて、今こそ内部統制の中でのIT全般統制を作り上げていかない時期だと思うのですが、財務報告だけだとITのところまで降りてこない可能性があります。このあたり、ITベンダーの理解が低いですよね。
と、評論家になってしまいましたが、内部統制に関してのIT側から見た全般統制ソリューションて、弊社でもやろうとしています。それでもできる範囲と他にお願いする範囲とを明確にするつもりですが。
Posted by: shita | 2005.10.27 11:13
>IT弁護士さんは、去年の今頃から予想していましたね
だから、みんな私のいうことを聴いていれば、先行者利得をえていたのに。(私には、フォースがあるっていっていたでしょ)
それは冗談として、では、内部統制とITとのかかわりをどうするか、財務諸表とITとの関係はまだ議論されているとして、それ以外のコンプライアンスや業務の効率性との関係とかはどうなのという問題がありますね。
そして、これらは、そのソフトウエアをいれれば、終わりという問題ではなくて、普段のプロセスの真っ当な精査から始まるものですよね。
そういう真っ当なアプローチが無視されて、安直な思考の停止によるソリューションの提供が跋扈するだろうというのも予測しています。
ただ、なんにもないのよりは、投資家に正確な情報提供をというコンセプトにわが国が気がつくべきだと思っていますので、そのような安直なソリューションもないよりはましということで、来年くらいまでは煽ることにしました。
だから、COSOキューブとITとの関係を独自に考察しようかと思っています。
(まじめに資料をあつめだしたら、結構大変で、真っ当なアプローチの論点を精緻に指摘するもギブアップ寸前という感じになっています)
2匹目のドジョウですけど、フォースによれば、ドジョウもどき程度しかいないんじゃないかという気がしています。
日本には、一般投資家が正当な情報を得て投資するというのが社会を動かしているという合意がないような気がしてます。別のトピックに「経営者は株主を選べない」というトピがありましたが、言っている人は、「だから経営者はかわいそうだ、選べるようにしてしまえ」と思っているんじゃないかと、そしてその意見が暴論と思われない国なんじゃないかという気がしてます。
そのような風土で、財務諸表の正確性の保証とその監査といっても、社会を揺るがすようなインパクトをもちうるのか、という感じですね。
タイムリーディスクロージャー違反で取締役の損害賠償を追及するクラスアクションでも起こせるようになったら、考えを変えてもいいですけどね。
(だから、このような風土が変えられないのであれば、むしろ、あえて真っ当な議論に目をつぶって、煽るほうがわが国のためなんですよね。まるでダースベーダーみたいな話ですが)
Posted by: ミスターIT | 2005.10.28 01:02
ミスターITさん、コメントありがとうございます。なかなか面白くかつ「奥が深い」話ですね。
実は、私もミスターITさんと同じ感覚ですね。二匹目のドジョウは小さい。個人情報保護法の場合は、漏洩対策が法的にも重要な位置づけとなり、情報セキュリティ対策のど真ん中でしたが、今回はITシステム内でミスがあっても会社からでる情報が正しければ問題ないようになっていればよいので、そんなにブレークしないと思っています。また、個人情報保護法と違って、今回の場合は、ちょっと専門的な感じがするしね・・・一般受けはしないのでは?と思っています。
ミスターITさんが、全てを飲み込んであえてダークサイドに落ちてしまうのであれば、私はあえて無理を承知でまっとうな方向に進んでみようかなぁ・・・(笑)
Posted by: 丸山満彦 | 2005.10.28 10:28