2009年から施行といわれている企業の遵守事項「内部統制」

今日、情報開示（ディスクロージャー）や法令遵守（コンプライアンス）、企業の社会的責任（CSR）など、企業経営に対する社会的な姿勢が求められつつあります。
米国では、エンロンやワールドコムなどの巨額な粉飾決算事件により、企業の内部統制の重要性が認識され、通称SOX法（企業改革法）が緊急制定されました。
SOX法によって、経営者には、財務報告に係る内部統制の有効性を評価した【内部統制報告書の作成および監査人による監査が義務付け】られることとなりました。

日本でも、2006年5月施行の「新会社法」や、2009年度の会計から施行といわれている「金融商品取引法」などで企業の遵守事項として「内部統制」という言葉が頻繁に使われるようになってきました。 特に、「金融商品取引法」における内部統制は、前述の米国SOX法にならって、

• 「企業の経営者による財務報告の信頼性の宣言」
• 「有効性証明のための内部統制の実現とその評価」

について義務付けるよう述べられています。

内部統制の実現のために、企業は何をしなければならないのでしょうか。
「金融商品取引法」の内部統制が企業の経営者に求めるものは、「財務計算に関する書類の適正性の確保」と「適正性を確保するために必要な内部統制の構築・運用」です。
ここで言う、「内部統制の構築・運用」とは社内に内部統制の仕組みを構築するだけではなく、その仕組みが従業員全員に正しく理解され、継続的に機能していくことを求めています。
したがって、内部統制の仕組みは１度構築したら完了ではなく、永続的に管理・監視していくプロセスである必要があります。（図１）

<図１>

ここで、視点を変えて、企業の内部はどのようになっているかを考えてみようかと思います。
企業活動では、いくつかの業務プロセスが連続することによって全体が成り立っています。
内部統制ではこの業務プロセスが正しく規定され、また不正無く正しく実行される仕組みと、状態を求めています。

今日の日本の企業では、日常の業務の全てまたは一部をITによって実現しており（図２）、企業活動においてITは切り離せないものとなっています。
したがって、企業で内部統制を実現するためには、ITの統制も意識していく必要があります。
そのため、金融庁企業改革推進委員会が提出した草案では構成要素に 「IT(情報技術)への対応」 をいう項目が加えられています。

また、多くの企業では、財務計算にかかわる処理に何らかの形でITを利用しています。
その点でも、ITに対する対策は欠かすことができません。

<図2>

金融商品取引法が求める内部統制は業務プロセスとITを組み合わせて実現されるといえます。 具体的には、望ましくない事態の発生を防止する「不正を防止する仕組み」と、望ましくない事態を発見する「異常を発見する仕組み」をITで支援し、業務プロセスに埋め込むことが必要になると考えます。（図３）

<図3>

そうした不正を防止する仕組みとしては、職務分離、ユーザー認証、アクセス管理、業務プロセス承認などがあります。また、異常を発見する仕組みにはフォレンジック、プロセスモニタリングなどがあげられます。

繰り返しになりますが、「金融商品取引法」が求める内部統制の構築には、企業活動の多くがIT化されている現在、内部統制の構築にもITを利用することは自然な方向と言えます。
ただ、対処療法的にITを導入するのではなく、企業ごとに各プロセスを見直し、効率的に改善を図っていくことが企業の競争力を高めつつ内部統制構築を成功させる条件だと言えます。

米国で内部統制への取り組みを行った企業のアンケートによると、内部統制の取り組みによって得られた副産物として、｢業務の効率化｣「生産性の向上」があげられています。
内部統制への取り組みは、コンプライアンス対応という義務の意識ではなく、生産性の向上という真の企業価値の向上のための取り組みとして前向きに捉えるべきであると考えています。

NTTソフトウェアは、今までに培った企業システム構築の実績と、最適な製品･サービスの提供により、IT内部統制によるお客様の企業価値や競争力向上を強力に支援していきます。（表１）

<表１>