« IT全般統制の統制目標 (同業他社からもほめられました(笑)) | Main | 環境省 パブコメ 「カーボン・オフセットの取組に対する第三者認証機関による認証基準(Ver. 1.0)(案)」 »

2008.10.31

内部統制報告制度では支配権のない持分法適用会社であっても「内部」統制の一部として評価しなければならないのに、100%子会社に情報の取り扱いを委託する場合は「外部」委託といわれる

 こんにちは、丸山満彦です。長い題です。もちろん、状況によって外部内部の切分線が異なるのは当然ですが。。。ちょっと本質を考えてほしいと思うんですね。
 支配権が及ばない持分法適用会社を企業グループの内部として内部統制の評価に含めるのはおかしいんじゃないの?という話は、
=====
 2008.06.26 質問:そもそも持分法適用会社の内部統制って、親会社ではないけど大株主である企業から見た場合の内部統制ですか?
=====
 でちょっとした議論となりましたが、逆に個人情報の取扱等情報セキュリティの分野では、一部門が子会社化し、完全一体化して運営されているような子会社についても法形式的には外部ということで、「外部委託は禁止だ。。。」みたいなことが言われたりします。

 
 頭を使うのが面倒だから形式的に、目的を理解せずに、パターン化した思考をする人が多いのかなぁ。。。

 A株式会社は、
・システム開発やサーバーの運用管理をしている会社とします。
・政府機関、金融機関、その他製造業のサーバー等を主に請け負っているとします。
・高効率・高付加価値サービスの提供を行うために組織変更をし、ある一部の部門を子会社化しB株式会社を設立したとします。B株式会社は、A株式会社の支配権が完全に及ぶ子会社ということになります。組織運営は一体として行われ、当面は全員がA株式会社からの出向者で当面は給与体系も同じです。

 分社化の結果、従来A株式会社で行っていた一部の事業をB株式会社がすることになりました。

・政府機関Xでは、サーバーの運営を再委託することを禁止していたとします。今回B株式会社ができたことにより、政府機関Xのサーバー管理の業務をB株式会社がすることになりました。

・政府機関Xは、A株式会社が受けてB株式会社に委託するのだから再委託に該当し、B株式会社に業務を委託するのであれば、サーバー管理の委託をA株式会社に委託することはできないという話になりました。

 子会社化したら状況は変わるのでまったく同じとはいいません。この場合は、リスクの面から100%子会社であっても再委託すべきではない情報だったのかもしれませんが、、、でも、ちょっと考えるべきですよね。。。

 そもそも外部委託による情報セキュリティの漏えいというリスクを考える場合、

・支配権が及ばない完全な別会社に再委託する場合と
・親会社と一体運営されているような100%子会社に再委託する場合と

 リスクはことなりすよね。。。

 実質的に考えるべきですよね。。。

|

« IT全般統制の統制目標 (同業他社からもほめられました(笑)) | Main | 環境省 パブコメ 「カーボン・オフセットの取組に対する第三者認証機関による認証基準(Ver. 1.0)(案)」 »

Comments

持分法適用会社はもちろん外部。
100%子会社は内部ですね。

だから情報管理子会社への委託は、財務報告統制の世界では委託ではなくあくまでも集約業務拠点として扱っていますよね。倉庫業務などと同じですね。

あえて委託だといっているケースは聞いたことがありません。

Posted by: 閑人 | 2008.11.03 at 15:55

閑人さん、コメントありがとうございます。

法形式的な要件だけでなく、実質を考えないとね。。。

内部統制報告制度で持分法適用会社まで有価証券報告書提出会社の内部統制の一部だとするのは実質的にも論理的にも変だし、100%子会社への委託をまったく資本関係がない会社の委託と同じように形式的にとらえるのも変なんですが、頭を使うのがしんどいのか、パターン化して考える癖がついているのかもしれませんね。。。

Posted by: 丸山満彦 | 2008.11.05 at 23:04

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/42960020

Listed below are links to weblogs that reference 内部統制報告制度では支配権のない持分法適用会社であっても「内部」統制の一部として評価しなければならないのに、100%子会社に情報の取り扱いを委託する場合は「外部」委託といわれる:

« IT全般統制の統制目標 (同業他社からもほめられました(笑)) | Main | 環境省 パブコメ 「カーボン・オフセットの取組に対する第三者認証機関による認証基準(Ver. 1.0)(案)」 »