« IT統制とメール管理 | トップページ | オフ会のお知らせです(* ̄∇ ̄*) »

2007年6月18日 (月)

IT統制とメール管理(その2)

日曜日にもかかわらず、昨日のIT統制とメール管理のエントリーには、有識者の方々より多くのコメントを頂戴し、どうもありがとうございました。(肝心の管理人は「父の日」ということで、昼から家族と出かけておりまして、コメントをお返しできず申し訳ございませんでした)実は他のエントリーのアップを予定しておりましたが、皆様方の真摯なご意見を読ませていただきまして、その感想を続編として書かせていただきます。なお、閲覧されていらっしゃる方には、昨日のコメントのほうが多数説(おそらく現在の通説)であり、私の意見は少数説(一般に公正妥当と認められる会計もしくは監査の基準の解釈からは離れているかもしれない・・・説)とお考えいただき、あくまでも問題提起といった意味でご理解いただけますと幸いです。したがいまして、昨日のエントリーのコメントは、内部統制システム整備運用にあたり、たいへん有益なものではないかと思いますので、どうかご参照ください。

IT統制(金商法上の内部統制報告制度における)と電子メール管理の関係につきましては、やはり「財務報告の信頼性確保」といった内部統制の目的との関係では、その評価や監査対象としてはそれほどのウエイトは占めない・・・といった意見が多数説であると私は昨日のコメントから理解いたしました。(したがって、近時のIT統制に関する解説書では、あまり触れられていない、といった結論になると思います)それでは、そういった立場の方々は、下記のように書かれている「実施基準」はどう解釈されるのでしょうか?

(財務報告に係る内部統制の評価及び監査に関する実施基準Ⅰ内部統制の基本的枠組み2内部統制の基本的要素(6)IT情報技術への対応②ITの利用及び統制より抜粋)

イ 統制環境の有効性を確保するためのITの利用

 ・・・(中略)・・・

また、ITの利用は、統制環境の整備及び運用を効率的に行っていく上でも重要となる。たとえば電子メールといったITを利用することは、経営者の意向、組織の基本的方針や決定事項等を組織の適切な者に適切に伝達することを可能とし、統制環境の整備及び運用を支援することになる。

一方で、ITの利用はたとえば経営者や組織の重要な構成員等が電子メール等を用いることにより、容易に不正を共謀すること等も可能としかねず、これを防止すべく適切な統制活動が必要となることにも留意する必要がある。

上記の前段落のほうは、皆様方もご指摘のとおり、電子メールが情報伝達手段として使用されるにあたっての財務報告の信頼性に関係する業務プロセスを問題としていることがわかりますので、これについては私も異存はございません。しかしながら後段落のほうはいかがでしょうか。防止すべく適切な統制活動が必要とされているのは、まったく財務報告の信頼性を確保すべき業務プロセスとは無関係なところで、電子メールの管理が要求されていると理解すべきではないのでしょうか。昨日はすこし説明不足でありましたが、そもそも内部統制報告制度が金融商品取引法に導入されましたのは、ライブドア事件もさることながら、コクドほか8社が「有価証券報告書虚偽記載」ということで監理ポスト入りした事例が発端となっていたはずです。つまり、大株主の記載において、虚偽の名義人を記載していた多くの企業のうち、悪質と思われた8社が処分の対象になった、というものであります。これらの事例は「株主に関する事実」の記載が問題となったケースであり、そもそも財務報告の信頼性確保のための「業務プロセス」そのものが問題となったものとは異なるのではないでしょうか。繰り返しになるかもしれませんが、そういった不正防止も「投資家保護を目的とした企業情報の開示のために要請されるもの」と考えるならば、「IT統制」といったものも、そもそも財務報告の信頼性確保のための業務プロセスにとらわれる必要はないわけでして、「正確性の反映」のためのITだけでなく、経営者による共謀などによる不正の防止のための統制もIT統制といえるのではないか、と感じる次第でありますし、それが素直な理解ではないか、と思うわけであります。IT統制というものは「モノ」だけを見つめるものではなくて、かならず「モノと人との関係」を扱うはずではなかったのでしょうか。(モニタリングの有効性を確保するためのITの利用に関しても、「モノと人」との関係が重視されるのではないでしょうか)たとえば経営者とITとの関係で捉えるとすれば、メール管理に関する統制の仕組み整え、その仕組みをおよそ経営者が理解することによって、「こんな仕組みがあるんだったら、社内で不正を指示することもできないし、意思連絡もできない」と悟ることができ、抑止的効果がはかられるかもしれません。人間は不正への誘惑があるからこそ、不正へと近づく(性弱説)のであるならば、こういったIT統制はまさに金商法が最も重視している経営者不正の低減に効果的なはずであり、その機能を果たすべき場面ではないでしょうか。これは純粋な「統制環境に関する評価、監査」の問題ではなくて、おそらくIT統制の問題でもあろうかと思われます。

日興コーディアルの不正会計事件のときには、外部第三者委員会の委員は(おそらく補助者も用いてのことだと思いますが)、一ヶ月間に社内メール50万件を調査した、との報告内容でした。そのうえで、子会社代表者の関与事実については一部メールがサーバーから一括削除されていたがゆえに認定を断念した、とのことであります。おそらく、この50万件には、本当にどうでもいいような社内メールも含まれていたのではないか、と推測いたします。それでも、そういったメールを丹念に調べていけば、「仮説の信憑性」を補強する証拠が出てくるわけであります。たしかに、メール管理そのものが財務報告の信頼性確保に向けた統制活動そのものとは無関係なように思えますが、こういった社内のトップクラスが社内メールの管理による効果を認識していたとするならば、不正への誘因がひとつ減ることになるのは間違いないところと思います。コメントのご指摘につきましては、議論を深めるきっかけとなりましたし、私がかなり誤解しているところもあるようにも思えますが、ちょっと心のどこかで咀嚼しきれないところがございましたので、あえて続編として感想を述べさせていただきました。

|

« IT統制とメール管理 | トップページ | オフ会のお知らせです(* ̄∇ ̄*) »

コメント

電子署名(認証)つきメールについて

メールと信頼性ということで、最近見つけた便利なものを紹介します。
ちょっと前に三井住友銀行からメールが送られてきたのですが、これが認証メールだったんですね。ヘッダのところに署名:という欄があって、ここにチェック印が入っています。三井住友からのメールにはみんなこれをつけているということてす。
Windows
http://www.smbc.co.jp/security/smime/mua01.html
Mac
http://www.smbc.co.jp/security/smime/mua10.html

これなにかなぁと思って調べてみたら、けっこう便利なものでした。電子署名、認証つきという名称からわかるとおり、インターネットの仕組みをつかって、このメールが三井住友銀行から送られた真性のメールであることを保証しているわけですが、それだけではありませんでした。これがあると暗号化メールが手軽に送れるのですね。

認証とか暗号メールとかは昔からありましたが(PGPとか)、公開キーとかなんとか結構やっかいだったし、自分がやっても、相手がくわしくない人だと使えないので、結局つかってませんでした。システムがボランティアベースだったこともあります。

最近一般的になりつつある署名入り、暗号メールは、これとはしくみが違いまして、アメリカの民間会社(ベリサイン)が中心となって、ここが保証作業を一手に引き受けています。日本でのサービスもここを使っています。

で、どう暗号化が簡単なのかというと、この署名入り(認証つき)メールがきて、これに返信しようとすると、大抵のメーラーでは、暗号化するかどうかというオプションボタンが表示されるんです。あとは普通にメールを書いて、オプションにチェックを入れるだけです。これで相手しか読めない暗号化メールが送れるわけです。

メールというのは、昔は同じ大学の計算機センター内だけ、ひろくなって他の大学との連絡くらいで、あんまり高度なセキュリティシステムが使われていませんでした。今日のようにビジネスや機密的なことまで扱うようには想定されていなかったのです。だから、メールにセキュリティ機能をつけるのはむつかしかったのですが、この認証メールは、とりあえずの方策としては悪くないと思います。

このサービスは一般的には、会社などの顧客を対象としていて、もちろん有料なのですが、個人でも試してみることはできます。個人用の無料お試しアカウントは一年間有効で、メールアドレスの保証だけで、その属性(どこの会社のものか)までは証明してくれません。でも、使い勝手くらいは充分試せるし、一応相手に送られたメールには「署名つき」と表示されるし、暗号化メールも送ってもらえます。(暗号メールも、受け取れば普通に表示されます)

あと、試しにメールを配送途中で改竄してみたら(一行空行を多くした)、ちゃんと署名ヘッダに「このメールは改竄されいます!」と表示されました。


ただし、お試しサービスの申し込み、かなりややこしいです。
http://www.thawte.com/
日本語の解説記事
http://www.atmarkit.co.jp/fwin2k/win2ktips/647freeca/freeca01.html

実は、このお試しサービスでも、追加料金(2000-3000円)を払えば、属性保証をつけてもらえるのですが、それには日本各地に住んでいるアメリカ人がアルバイトでやっている公証人の許を訪ねて、証明書類を提示しなければなりません。この公証料金がだいたい2000円くらいのようです。

投稿: hamster | 2007年6月18日 (月) 05時07分

あと、申し遅れましたが、niftyとかbiglobe, ocnとかの大手プロバイダでは、この電子署名サービスはすでに導入されているので、月額200円くらいを払えば、ベリサインの個人証明を受けることができます。

投稿: hamster | 2007年6月18日 (月) 05時40分

実施基準の作成者の意図を推測したら、どうでしょうか?

実施基準では、経営者不正と関係者の共謀を内部統制の限界と位置づけています。従って、経営者による不正指示メールや従業員間の共謀メールも、限界となります。(???)

>>>>>>>>>>>
会社法では、取締役の職務執行に係る情報の保存・管理に関する体制の整備を義務付けています。メール管理を、会社法は別に、金融商品取引法の固有問題として議論する必要性は乏しい・・・と感じました。

ところで、ご存知の方も多いと思いますが、企業の証券取引法違反や独占禁止法違反事件に際しては、警察・検察庁の捜査で関係者の手帳が必ず没収されます。言うまでもなく、捜査のきっかけとして、ある人がいつどこで何をしたか・・・手帳は捜査の際の情報収集にとって有用だからです。
コンプライアンスと犯罪捜査にとって非常に重要ですので、社員に手帳作成義務と保存義務を課しますか?

投稿: IT統制とメール管理 | 2007年6月18日 (月) 08時16分

 たびたびすみません。。。
=====
イ 統制環境の有効性を確保するためのITの利用
=====
 は、「統制環境の有効性を確保する」という観点からITを利用したらええのんちゃうの?という話だと思うのですね。
 もちろん、「「財務報告の信頼性を保証する統制環境」の有効性を確保するためのITの利用という内部統制」も評価対象となるとは思うのですが、やはり間接的であろうと・・・というわけで、
=====
一方で、ITの利用はたとえば経営者や組織の重要な構成員等が電子メール等を用いることにより、容易に不正を共謀すること等も可能としかねず、これを防止すべく適切な統制活動が必要となることにも留意する必要がある。
=====
 と実施基準に書かれていて、山口先生も、
=====
メール管理に関する統制の仕組み整え、その仕組みをおよそ経営者が理解することによって、「こんな仕組みがあるんだったら、社内で不正を指示することもできないし、意思連絡もできない」と悟ることができ、抑止的効果がはかられるかもしれません。人間は不正への誘惑があるからこそ、不正へと近づく(性弱説)のであるならば、こういったIT統制はまさに金商法が最も重視している経営者不正の低減に効果的なはずであり、その機能を果たすべき場面ではないでしょうか。これは純粋な「統制環境に関する評価、監査」の問題ではなくて、おそらくIT統制の問題でもあろうかと思われます。
=====
というご指摘ですが、
というのも、現実的には可能性はあるもののそれほど説得力があるわけではない、つまり共謀なんて電子メール以外でもするでしょうが・・・と思うわけです。ITリテラシーが高ければ、携帯メールやプライベートなメールでするだろうし、ITリテラシーが低ければ、携帯電話でするでしょうがと・・・。
 他の方がコメントされているように、手帳はどうするんだ、携帯電話の通話記録はどうするんだ、携帯メールはどうするんだ、という話にもなりかねないと思うんですよね。。。当然、そういうことにはならないとみなさん直感で思うわけですよね(たぶん)。。。
 ということで、実施基準に書かれていることがまぁ、おかしな話なのではないかと、、、
 個人的には、他に書くことがなかったので、こんな話でも書いとけ・・・って書いたのではないでしょうか。。。例示だし。。。

 って感じですけど。。。

投稿: 丸山満彦 | 2007年6月18日 (月) 17時24分

Hamsterさん

おひさしぶりです。私のところにも三井住友からは認証メールがたびたびくるんですが、あけるときに「めんどくさいな」と思いながらも使っております。ご説明のようなものまで意識したことはなかったですね。あさって、SEさんといろいろとお話する機会がありますので、また話題にさせていただきます。どうもありがとうございました。

メール管理さん、丸山先生

二度も、こういった話題に丁寧な解説をいただき恐縮です。
ご指摘のように、会社法上のシステムとして考えればいいのかもしれません(といいますか、会社法上の内部統制ということであれば考えやすいのであります)
「限界」という言葉も出てきましたが、この「限界」ということが金商法で使われているところも、要は「保証水準」の問題ですよね。(絶対有効なんてことはありえないわけで、ある程度信頼性を保証できればよい・・・といったことを裏から解説したのが「限界」とでもいえばよいのでしょうか)ということは、「そんなめったにおこらない不正のためにメールをきっちり管理するなんて、それこそ費用効果の関係からみて不合理ですよ」といったところなんでしょうかね?それよりも、IT統制にお金をかけるんだったら、財務報告のプロセスにお金をかけよ・・・といったところでよろしいのでしょうか?
要は虚偽表示リスクの重要性の認識の問題として整理したらいいのでしょうかね。

投稿: toshi | 2007年6月18日 (月) 22時32分

虚偽表示リスクの重要性の認識の問題として整理したらいいのでしょうかね。
⇒おっしゃるとおりだと思います。

そんなめったにおこらない不正のためにメールをきっちり管理するなんて、それこそ費用効果の関係からみて不合理ですよ」といったところなんでしょうかね?
⇒まさに、おっしゃるとおりだと思います。

IT統制にお金をかけるんだったら、財務報告のプロセスにお金をかけよ・・・といったところでよろしいのでしょうか?
⇒違います。
 金融庁の黙認で生じた消費者金融の自殺者の家族支援にお金をかけよ!
 公的年金のずさんな管理の後始末に必要な事務的作業にお金をかけよ!
 偽装請負を止めて、非正規雇用を正規雇用にするためにお金をかけよ!
 サービス残業を禁止して、正当な残業代を支払うためにお金をかけよ!
 下請業者の労働条件と労働環境改善のために、大企業はお金をかけよ!
 オーバードクターと専門職大学院卒業生の雇用のためにお金をかけよ!
 地球温暖化防止のための二酸化炭素削減に向けた施策にお金をかけよ!
ご参考:http://www3.tokai.or.jp/amamiya/

投稿: IT統制とメール管理 | 2007年6月19日 (火) 08時18分

こんにちは。確かに虚偽表示の発生リスクに直接関連する可能性は少ないと思いますが、関連会社も含めたグループ内でシステム統合がすすんでおらず、「重要な業務プロセスにおける承認行為」「財務報告に関連するデータや計算式が記載されたスプレッドシートの送受信」「規定/ルール類の周知伝達」などにEメールが多用されている企業の場合、全くノータッチというわけにはいかないのでは?

投稿: tegutan | 2007年6月19日 (火) 10時28分

IT統制にお金をかけるんだったら、財務報告のプロセスにお金をかけよ・・・といったところでよろしいのでしょうか?
>>>>>>>>
違います。

大手の上場企業だけでなく,内部統制が今後求められるであろう中堅・中小企業といった成長企業などもターゲットにしている。大手が内部統制を強化すれば,取引先である中堅・中小企業の内部統制も強化せざるを得ない。

日本版SOX法の施行を目前に控え,多くの上場企業はまずは手作業で対応しようとしている。しかし毎年,実施するとなると手作業では不可能だろう。そこで新たなシステム導入が求められてくる。そのシステムはどんな形態になっているのだろうか。内部統制とERPの関係は,これからも追求していきたいテーマである。
http://itpro.nikkeibp.co.jp/article/COLUMN/20070618/275023/?ST=tousei

投稿: ちがいます | 2007年6月19日 (火) 10時29分

ERPで企業が変わる!
http://premium.nikkeibp.co.jp/itm/int/35/03.shtml

ERP推進フォーラムなどのデータでは、最近はアドオンの開発は小さくなってきています。
⇒大企業では導入に数十億円から数百億円を要しています。アドオン(固有の業務に対応するための追加作業)開発が少ないなら、どうしてこれだけの費用がかかるのでしょうか?

生産管理モジュールも、ERPシステムが優れていると評価していただけるお客様もいらっしゃいます。特に化学産業、組み立て産業などは、ERP自体が欧米でさまざまな実績を挙げています。
⇒ERP導入会社では、システム導入以後、仕事の融通が利かなくなったとの職場の怒声が聞こえるのは、気のせいでしょうか?
⇒あなたの会社が化学産業や組み立て産業でなければ導入しないほうが良いと、教えてくれている気がしませんか?

決算のスピードアップ化が行えます。
⇒決算日程が早期化した割には、巨大企業の決算5月発表が多いのはなぜですか?
⇒今後は見積や将来予測の要素が大きくなるため、会計理論的にも考えにくいのではないでしょうか?

在庫の適正化を行うことがキャッシュフローに直結してきます。
⇒データ入力や集計の問題ではなく、その会社の取引の性質から考えて、確実性の高い販売計画を立てられるかどうかの問題のほうが重要ではありませんか?

ERPシステムを導入することで、さまざまな情報がリアルタイムに上がってきます。
⇒全社員に、取引発生から即時の伝票入力を強制できますか?
⇒事後返品がありませんか?月末・期末締め後に相手先へリベート支払や仲介業者への手数料支払=事後決済をしませんか?
⇒ERP導入会社の多くは、4月1日にリアルタイムの財務諸表が作成できますか?
(ごく一部の会社がそうしてるだけでは、あなたの会社もそれができるとは限らないのですよ!)

投稿: IT統制と業務改革 | 2007年6月19日 (火) 17時20分

会社法でいう情報の保存・管理の主旨は経営者の意思決定過程を
後でトレース(監査役が)出きるように、が主眼であり
金商法では、有報の記載内容が正確である(投資家への情報として)
ための保証と理解しています。
そこで、金商法のIT利用についていうと、八田氏の逐条解説書では、
IT利用にはIT環境の対応とIT利用・統制に分けて考えています。
私の解釈では、IT利用・統制は業務プロセスにITを利用している
場合(社内通達を電子メールにて配布している等)には人的行為と
同様に、財務報告虚偽リスクへのコントロールを施す部分であり、
他方IT環境の対応は、ITが業務プロセスに入っていようが無かろうが、
ITを使うにあたっての心構えを指摘し、具体的行動として
「情報セキュリティー規定」等を制定することを期待していると思われます。
そういう意味ではToshi先生のご指摘は正しいのだけれども、
環境の対応についてはどこまで、どのようにと言う部分は現時点では
スタンダードがないので、監査法人も「こうあるべき」と示せないのでは。
つまり、「利用方針・手続きを定める」までで、その内容を評価するのは非常に困難と思われます。
また、リスク対応の比較論で言うと、財務諸表以外の開示部分(大株主の状況等)についても、
決算業務フロー(若しくは財務業務フロー)で統制評価し、データソース(出所の信憑性)のチェック、
開示DRAFTのチェック等の証跡を残すことの方が、監査する立場からすれば、
虚偽リスクへの有効性は高いと判断できると思います。

また限界論で言うと、監査法人は全社統制につては、整備評価、形式的運用評価は
言及できますが、その内容指摘については非常にナーバスにならざるを得ないと思います。

投稿: STRAYCATS | 2007年6月19日 (火) 22時36分

straycatsさん

ご意見ありがとうございます。本日、実際にシステム導入を手がけておられるSEさんとメール管理の話をしておりまして、このメール管理というものが、1000人規模の企業においては莫大な費用と時間を要することをあらためて認識いたしました。(おもに保存期間を長期とした場合の管理費用と日常のバックアップの問題、そしてなによりも、そういった体制を維持できるスタッフの養成と、メール管理に関する企業文化の完成だそうであります。とても社内研修などといったものでは困難のようであります)また、ご意見などと総合して、新たにエントリーをアップいたします。

投稿: toshi | 2007年6月20日 (水) 23時28分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック


この記事へのトラックバック一覧です: IT統制とメール管理(その2):

« IT統制とメール管理 | トップページ | オフ会のお知らせです(* ̄∇ ̄*) »