見出し画像

法規制とIT

株式会社プランシパル │ コラム

法規制とIT

 これから法規制の対応というテーマで話しを進めていきたいと思います。 経営層がITに対して知識や興味がなかったとしても、 経営のリスクという点においては必ず興味をもっているはずです。 だから経営者にITに関係するリスクをわかりやすく説明し、 理解してもらうことが肝要です。

 ただし、“当社では情報漏えいの危険性があるので、 新しいルータを購入し、ネットワークセキュリティを強化しなければなりません。”

などと言ってはだめです。 経営者の気持ちが動くのはIT技術の側面ではなく、 あくまで経営リスクです。ルータの話しではなく、 法的な側面での未整備事項やリスクを(できれば他社の整備状況と比較して)説明して、 リスクを回避する方策と同時にIT化の促進を実行するといいでしょう。

ではどのように経営層にITに関連する経営リスクを説明するか

 そのキーワードが内部統制です。

 JSOX法は上場企業を対象とした内部統制に関する法律で、 3月期決算の企業はまさに4月から対象企業として法律が施行されます。 このコラムでは法律の詳細に触れるのは主旨ではありませんが、 全く知らないと話しが進みませんので内部統制について簡単に触れます。

内部統制とは

 “企業の財務報告の信頼性を確保し、 事業経営の有効性と効率性を高め、 かつ事業経営に関わる法規の遵守を促すことを目的として企業内部に設けられ、 運用される仕組み”のことです。米国SOX法は、

①統制環境
②リスク評価
③統制活動
④情報と伝達
⑤監視活動

の5つの構成要素から成り立っています。 日本版SOX法では上記に加え、IT統制というものが付加されています。 上場企業における会計・販売・物流等の業務はシステム化されているため、 そのデータの整合性や信頼性を担保するにはIT統制は不可欠なものと日本では考えました。

 企業がJSOX法に対応するために具体的に準備を進めているのがいわゆる 内部統制3点セットの整備です。3点セットとは、

①業務フロー
②業務記述書
③リスクコントロールマトリックス

の3つを指し、最低限必要なドキュメントです。 以上が内部統制・JSOXの概要になります。

施行を目前に 控えた、今の一番の問題は何でしょうか

 それは経営者の中には3点セットさえ揃えておけばいいと思っている方も少なくなく、 特にIT統制に関しては程度の差はあれ整備が遅れている企業が多いということです。 そして一番のリスクは上記のことをリスクと思っていない意識にあります。 3点セットのようにドキュメントの整備は必要ですし、 ITに対する規程を整備することも重要です。

 ただし内部統制の最大のポイントはドキュメントに書かれたとおりの業務になっているか、 規定どおりITが整備されているかどうかです。 内部統制監査ではドキュメントの存在の有無は当然確認しますが、 何よりも書類に書かれていることが実際に業務として実行されているか、 リスクをコントロールしているかが見られます。

 一部の上場企業で見られたような公認会計士との癒着構造の中で 粉飾決算を見逃してきた時代ではなく、 ある意味、監査人も世間から監査されるわけですから 内部統制監査については慎重に作業を進める先生も多いと思います。

 上場企業において監査人のサインが入らなかった場合どうなるか、 皆さんはご存知のとおりですね。最悪のケースでは上場が廃止され、 市場から資金が調達できなくなるということです。

個人情報保護法と内部統制

 まだドキュメントだけ揃えて、 ITや業務が未整備の企業の担当者各位は勇気を持って現状を経営層に報告し、 リスクを十分に説明してJSOXに対応していただきたいと思います。

 特にIT関連の整備について今一度状況の点検をおすすめいたします。 本コラムでは触れませんでしたが個人情報保護法についても内部統制と同じです。 個人情報のほとんどはITを使って管理しているものだと思いますが、 その取扱いが不適切な場合は当局から指導を受け、 従わない場合は6ヶ月以下の懲役又は30万円以下の罰金が課せられます。

 もし個人情報が漏えいしたら、社会的信頼が失墜するばかりでなく、 流出した情報の質と量によっては数百億円の損害を被るリスクがあることを 経営者に正確に理解をさせることが重要です。 そして経営者の理解をリスクという視点で深めることに成功したら、 今までとりきれなかったIT経営の一環として JSOX法におけるIT統制を実行するといいでしょう。

 ここまで読んでいただいた読者の中には、 当社は上場企業でないから関係ないな、 と思われている方もいるかも知れません。それは違います。 JSOX法はたしかに上場企業に義務付けられた法律ですが、 内部統制はどんな企業でやらなければならないCSRつまり企業の社会的責任なのです。 そのことも経営層の方にしっかりと認識をしたいただくことが必要です。

経営バランス

画像1

 一般的には法規制よりも、 自社の売上や業務効率の向上の方に経営の着目点がおかれ、 経営資源の投入もされる。何故ならば法規制の裏にあるリスクとくにIT関連リスクの 大きさについては認識が薄いから左図のようなバランスになる 。

画像2

画像3

 現在の統制レベルとリスクを理解し、 統制レベルを上げていくことによってリスクギャップをしていく。
 リスクの大きさを理解した経営者は経営バランスも変わる。

画像4


この記事が気に入ったらサポートをしてみませんか?