内部統制とIT
-特別企画コンファレンス-

富士通総研経済研究所では、2006年9月28日（木）経団連会館において特別企画コンファレンス「内部統制とIT」を開催した。今回のコンファレンスは二部形式で実施した。第一部は、弁護士で国立情報学研究所客員教授でもある岡村久道氏による基調講演のあと、富士通株式会社常務理事の安達敏夫氏から富士通の業務プロセス改革についての事例報告をいただき、次いで当社主任研究員の浜屋敏が上場企業の従業員を対象としたアンケート調査結果を紹介した。第二部は、情報セキュリティ大学院大学副学長の林紘一郎教授をコーディネーターとしてパネルディスカッションを行った。

第一部

第一部では、まず「内部統制-会社法と金融商品取引法-」という演題で、弁護士で国立情報学研究所客員教授でもある岡村久道氏が基調講演を行った。岡村氏は会社法が定める内部統制と金融商品取引法が定める内部統制について、対象となる企業や規制の内容について解説を行った後、会社法や金融商品取引法以外に、ISO27000による情報セキュリティマネジメントシステムや個人情報保護、CSRなど企業が守るべきさまざまなルールやガイドラインが乱立しており、企業はそれぞれのルールなどを担当する部門やチームを別々に設けるなど非効率な対応状況になっているという事実を指摘した。また、岡村氏は、金融商品取引法の内部統制について不明な点が多すぎるため、企業が過剰反応をしたり、萎縮したりする懸念があるなどの問題点や課題を明らかにした。

次いで、富士通株式会社常務理事の安達敏夫氏が「富士通における業務プロセス改革」というタイトルで事例報告を行った。内容は、2005年10月からスタートした内部統制強化と業務プロセス改革を目的とした「Project EAGLE」の現状である。富士通は、海外子会社22社を含む69社を対象として、重要な業務プロセスを洗い出し、無駄なプロセスを削除するとともに、リスク対策が不十分なものについてはコントロールを強化するという作業を実施している。安達氏は、総計1万2,000の業務プロセスについて、業務フローチャート、業務記述書、リスク・コントロール・マトリックス、業務プロセス改革リストを作成しており、これらの文書を一体的に整備するには文書化支援ツールや文書管理ツールなどITの利用が不可欠であると述べた。

第一部の最後は主任研究員の浜屋が「内部統制に関する認識の現状～会社員に対するアンケート調査結果から～」と題して、上場企業及びその子会社に勤務する正社員を対象として実施したアンケート調査結果を中心に研究報告を行い、弁護士であり公認システム監査人でもある藤谷護人氏と桐蔭横浜大学法科大学院の郷原信郎教授が、この研究報告内容についてコメントした。このアンケートは2006年8月にウェブ調査によって実施し、2,060名から回答を得たものである。浜屋は、「コンプライアンス」という用語の認知度は役職が下がるほど低くなること、内部統制の強化によって業務効率が悪化すると考えている人が少なくないこと、内部告発は企業の不正をただすには効果的な手段であると考える人が多いにもかかわらず、公益通報者保護法などの内部告発関連制度の認知度は高くないこと、約2割強の回答者が「ビジネスと法令とのギャップで違法行為が恒常化していると感じたことがある」と回答していること、部長以上の役職者では4割以上が「米国型の内部統制を日本企業で実施しても意味はない」と回答していることなど興味深いアンケート結果を披露した。最後に浜屋は、内部統制について、「流行語や一時的な取り組みで終わらせるのではなく、特に現場における正確かつ業務に即した理解を進める必要がある」、「トップの関与や社風といった統制環境の整備が重要である」、「米国型か日本型かという議論を超え、自社に適した『自社型』を目指すべきである」などの提言を行った。

この研究報告に対して、藤谷氏は、内部統制システム整備にはITの活用が不可欠であること、社員一人による内部統制事故が企業としての不祥事につながることを考えれば、社員一人ひとりからの内部統制システムの整備が重要であるとコメントした。

また、郷原教授は、アンケートでは法令とビジネスの実態にギャップがあると感じている会社員や企業が相当程度あるように、法令と社会の要請の間にはギャップがあり、法令を遵守すること自体が、企業にとって大きなリスクになる可能性があることに注意しなければいけないとコメントした。

第二部

第二部は、情報セキュリティ大学院大学副学長の林紘一郎教授をコーディネーターとしてパネルディスカッションを行った。パネリストは、JPCERT/CC常務理事（元 法務省東京法務局首席登記官）の早貸淳子氏、新生銀行監査部長（日本内部監査協会の常務理事）の毛利直広氏、公認会計士／新日本監査法人代表社員（内部統制部会の専門委員）の持永勇一氏、富士通株式会社経営執行役の守谷高志氏である。

まず、早貸氏が、会社法の背景にある基本的な考え方と会社法における内部統制関連規定について解説した。特に注意すべき点として、整備すべき内部統制の水準については法令ではなんら定めがないが、会社の性質や規模に応じた内部統制システムを整備していないと、善管注意義務違反として任務懈怠責任の問われる可能性があることを指摘した。次に、持永氏によって、米国のSOX法の適用状況として、COSOが中小企業向けに事例やツールを含むガイドラインを2006年7月に公開したこと、そのツールの具体的な内容について紹介があった。

毛利氏は、内部統制は従業員と会社を護るために必要なものであり、5年以上存続している企業には内部統制はなんらかの形で既に存在している。SOX法は、それを目に見えるようにして示せというものだと述べた。また、書面化すれば、何が欠けているかわかるが、欠けているものをすべてやる必要はなく、また他社と同じようにする必要もない。自社に必要だと思われるものだけを実施すればよいと述べた。

また、守谷氏は、富士通グループのIFRS（国際財務報告基準）への取り組み及び内部統制への取り組みを紹介するとともに、標準化によってプロセスをシンプルにすると、ITの活用が容易になり、企業のグローバルな競争力の強化にもプラスになるという考え方を披露した。また、SOX法への対応、金融商品取引法への対応は、内部統制ができていることの証明であり、その証明をいかに効率的に行うかが重要な課題であるが、その効率的な文書化作業という課題もまた、ITをうまく活用することで解決可能であると述べた。

持永氏は、米国でもITをもっとうまく使えばよかったのではないかという声があること、コントロールには（間違いを起こさせない）予防的コントロールと（間違いを見つける）発見的コントロールがあるが、ITによる予防的コントロールを使うと統制レベルが格段に上がることを紹介し、内部統制におけるIT利用の重要性を指摘した。ただし、日本版SOX法対応というソフトウェア・パッケージについては、そのまま信用せず、きちんと社内で確認して利用する必要があると述べた。

また、毛利氏は、業務の監査と情報システムの監査は従来別々に実施されてきているが、両者はコンバージェンスを起こしており、これからの監査人は業務も情報システムも分かるようにならないといけない、更に内部統制の構成要素の一つであるモニタリングを実施するには、大量の情報から監査すべき情報をマイニングする必要があり、それにはITが不可欠であると述べた。

これに対して、早貸氏は、企業の基幹業務がITに大きく依存していること、企業から情報漏洩が多発していること、営利目的、犯罪目的の不正アクセスが増加していることなどから、ITの利用や管理が大きな経営リスクにつながっていることを指摘し、ITに対する統制も重要であり、社内にCSIRT（Computer Security Incident Response Team）を構築すべきであると述べた。