IT統制とメール管理
最近の金融商品取引法における内部統制報告制度(いわゆるJ-SOXと呼称されるところ)に関する解説本などでは、COBIT for SOX(2nd Edition)など、IT統制に関する文書化の要点などが紹介されているようで、システム監査に精通されていらっしゃる方のお話などをお聞きするなかで、実務レベルでの対処については半分くらいは理解できそうな感じがいたします。ただ、ずいぶんと前の話になりますが、財務報告の信頼性確保のためのIT統制のお話といえば、「メール管理」といったことが論点のひとつだったと思います。最新号の「旬刊経理情報」は「実施基準完全対応!IT統制の文書化はこうする」といった特集でして、丸山先生はじめ、システム監査に造詣の深い先生方が、あらゆる角度からIT統制の文書化について解説をされているのでありますが、そこには「メール管理」のことがまったく触れられておりません。
ひょっとすると、実施基準とメール管理は無関係なのか・・・とも考えたのでありますが、J-SOX導入のきっかけとなったライブドア事件や、先日の日興コーデの不正会計問題の際も、事実解明のためにメールが果たした役割というのが最も大きなものだったことは間違いありませんし、財務報告の信頼性確保のための内部統制と無関係なわけはないと思われます。社内メールと社外メールの効果的管理方法、メールの管理保存方法、他人のメールへのアクセス制限、修正履歴や削除履歴などの記録方法、そしてなによりも、メール送信に関する人的教育研修など、どれをとっても不正会計防止のためには全社的なIT統制と関係するでしょうし、経営者として関与しなければならない「第一歩」ではないかと考えておりますが、なぜ一切の解説がないのでしょうか?(ちょっと不安になりましたので、実施基準を確認しましたが、(ITの利用)の最初のところで「統制環境の有効性を確保するためのITの利用」として電子メールの重要性についてきちんと書かれてあります)そもそも、メール管理につきましては、内部統制報告制度の実施を待つまでもなく、早急に各社で対応しなければならないわけですから、構築するのは当たり前なのかもしれませんが、それでも制度実施後は経営者評価やIT統制監査などの対象となるはずですから、どういったレベルまでのメール管理をすれば内部統制報告制度上のIT統制としては合格基準なのか、ある程度感覚として知っておきたいところであります。
もうひとつ、最近の内部統制システムの文書化作業のなかで、気になりますのが、内部統制リスクとしての「文書化と開示リスク」であります。私自身、ある企業におきまして、リスクマネジメント委員会委員として、リスク評価や対応方法の検討作業に携わっておりますが、その委員会議事録はどこまでのことを記載すべきなんでしょうかね?(これ、委員会開催のたびに、法律家委員の方より疑問が呈されまして、大問題になっております)リスクマネジメント委員会には、オブザーバーとして社長も出席しておりますので、先日の全日空の発券トラブルではありませんが、IT関連事故で会社に損害が発生した場合に、株主から代表訴訟を提起された場合に、取締役の事故予見可能性(役員は事故発生のリスクをどこまで事前に把握していたか)を立証するためには、株主の方から委員会議事録につき文書提出命令を申立られる可能性がありますよね。委員である私が何を話したのか、そのリスクは最終的な決算財務プロセスにどのような影響を与えるのか、そのリスクについて会社はどこまで対応方法を検討していたのか、委員会としてはどういった提案を役員会に提示したのか、など、議事録に詳細に記載しておかねばならないのでしょうか。あまり書きたくないような気もいたしますが、文書化しておかないと、あとで委員会活動をきちんとやっていたことの証拠が残らないことにもなりますし、これはかなり難問であります。役員の最終的な責任については経営判断の裁量が広いところで救われることも多いかと思いますが「リスクを知ってて何も対応していなかった」と社会的非難を受ける可能性は高いわけでありますので、「一生懸命内部統制システムの整備運用に努めていればいるほど、開示リスクは増える」という結果にはなってしまうのでは・・・・・との不安がよぎります。もちろん開示義務が発生するような文書を隠蔽することはもってのほかであります。しかしながら民事訴訟法上の文書開示を拒絶できる事由、たとえばもっぱら内部専用文書の体裁を整えるとか、外部専門家を交えての意思形成文書と評価できる体裁にするとか、内部統制構築そのものが「営業秘密」に属すると考えるとか、他人の著作権(知的創造物)やプライバシー権侵害のおそれがあるとか、いろいろと文書化にあたっては、その開示リスクを低減するための要素はあろうかと思いますので、業務記述書にせよ、マトリックスにせよ、評価書にせよ、議事録にせよ、財務報告の信頼性確保のための内部統制システム整備運用プロセスに関わる文書化にあたりましては、(将来的に発生するであろう)文書化リスクにつきましても細心の注意が必要なのではないでしょうか。(そういえば議事録は作成せずに、外部専門家作成にかかる会議メモだけ残しておき、外部専門家事務所にて、内部監査や会計士監査の資料用として保管する・・という案も出ておりましたことを付言いたします)
| 固定リンク
コメント
ごぶさたしております。拝読していて思い出したのは、唐突ながら、結婚式のことでありまして(笑)。ここだけの話、愛を誓うときにはちらと離婚リスクが頭をよぎったのですが(笑)、とにもかくにもその場ではしっかりとよどみなく誓わねばなりませんね(笑)。
結婚に限らず、あまりにも早い段階で予見可能性があったとされる社会は、とても窮屈で、先のことが何でもわかるシャーマンのような人か、たまたま勘が当たった普通の人か、いずれにしてもごく少数の人々しかいられない社会になってしまうだろうと思っていまして、そうした動きには警戒すべきだと思っています。そういうのを賢いと評すべきでないというか。
先のわからなさは大事にして欲しいし、大事にしたいと思っていまして、実際先がわからないこと自体、どうということはないじゃないですか。それを所与のこととして全て受け入れて、さてどう生きるかが人として生きることの醍醐味のひとつだと思っていまして、要は「人事を尽くして・・・」ということですけれど、先がわかった方が偉い!とか、将来に関するあて勘が当たるのが優遇されるようになったり、先のことをわかれというプレッシャーが強くなりすぎるのは、よくありません。酷に過ぎます。
またしても遠い原則論で恐縮です。
投稿: bun | 2007年6月17日 (日) 06時17分
コンピュータ屋です。
いつも拝見させていただいています。
今回のIT統制のこと
私のお手伝いしている企業さん。中堅以下です。直接財務報告に係る統制の対応で精一杯です。全社的統制と決算業務のプロセスの評価、再整備ができるかどうと言うところです。ただ、IT統制を何もしなくても良いわけではなく、期限を気にせず、少しでも継続していければ十分でしょう。(IT統制の不備が重要な欠陥につながらないとも言っていますので)また、今までこのようなことに何もしてこなかったIT業界として、これ幸いとツール類を売るだけではなく、じっくり本気の取り組みが求められていると思います。
文書化と開示リスクについて
文書がない(規程類か無い、古い。マニュアルがない。)、運用も属人的、また暗黙の了解の元。そんな企業さんの場合、文書化とその管理に取り組むことが必要ではと思います。開示リスクというプレッシャーも出てくるでしょうが。事例、属人的決算業務の会社、とんでもない問題を起こしてしまいました。
投稿: コンピュータ屋 | 2007年6月17日 (日) 09時45分
>bunさん
どうもごぶさたしております。おそらくこのブログをお読みの方のなかにも、bunさんのご意見にわが意を得たり、と感じておられる方も多いと思います。とりわけbunさんも、こういったお仕事の中身をご存知の方ですから。
私のような仕事をしていますと、どうしても「こんなことになったらどうしよう」とか「誰が責任をとるべきか」みたいな話を真剣に考えてしまうようになってしまいました。おそらく委員会のなかにbunさんのような考え方でハッキリと発言していただける方がいらっしゃるとスムーズに議論できそうですし、また建設的な意見が生まれるのではないかと思います。
>コンピュータ屋さん
こんにちは。やはり現時点での最重要課題は直接財務報告統制といったところなんですね。業務プロセスに関わるところに力点が置かれていることと思います。ところで教えていただきたいのですが、IT統制の不備は重要な欠陥につながらない、というのは、一般的なご意見なのでしょうか?
もし、そのあたり先駆的に発言されている方の解説等ありましたら、またお教えいただけますでしょうか。(そもそもIT統制はそれ自体が統制目標ではなくて、統制環境とか、情報と伝達などの評価との総合判断だ、といったイメージで考えるべきなのかもしれませんね)
投稿: toshi | 2007年6月17日 (日) 11時44分
システム部:財務報告に係る内部統制で、メール管理は必要ですか?
内部統制部:監査法人系のIT関連書籍では、ほとんど触れていません。(IT内部統制の実務 中央経済社、これならできるIT統制 日本実業出版社、IT統制と監査の実務Q&A・・・)
システム部:どうしてでしょうか?
内部統制部:電子メールが、そのまま会計仕訳や会計データにならないからです。
システム部:電子商取引はどうでしょうか?
内部統制部:相手先データをそのまま会社の会計データに取り込むなら、システム間のデータ受け渡しの正確性の問題であり、メール管理と関係ありません。
システム部:注文を電子メールで受け取ったらどうですか?
内部統制部:相手先から受け取った注文書を記録・保存する必要があるのは、紙でも、FAXでも、電子メールでも同じことです。
>>>>>>>>>>>>>>
コンサルタントの危ない流儀 日本経済新聞社 303ページ
マッシブ・システムズ社(仮名)のIT部門はクライアントに巨大なシステム開発/コンサルティング・プロジェクトを売った。・・・その間何百万ものカネをもらいながら、目に見える成果は何一つあげられなかった。
⇒ITシステムでは、ユーザー側の先の分からなさが巨額の損失を帰結します。システムを購入する際には、どんなときでも個別かつ具体的な事例を思い浮かべて、事実と有用性と問題発生確率を、自分の頭で検証しましょう。
>>>>>>>>>>>>>>
内部統制実施基準Ⅱ
ITを利用した内部統制は一貫した処理を反復継続するため、・・・ITに係る全般統制の有効性を前提に、人手による内部統制よりも、例えばサンプル数を減らし、サンプルの対象期間を短くする・・・
IT統制は、会計データが間違わないための仕組みです。ところで、主要三勘定科目=売上高・売掛金・棚卸資産の実証性を直接検証する期末の債権残高確認と棚卸資産の実地棚卸を行い、会計デーとの相違を検証すれば、三勘定科目の正しさを証明できます。ITで重要な欠陥になることは、個別取引・業務プロセスでは考えられないでしょう。ただし、決算書集約過程におけるデータ集計・修正ミスは、重要な欠陥に直結します。
投稿: IT統制とメール管理 | 2007年6月17日 (日) 12時05分
ご意見ありがとうございます。
前半部分のシステム部との「やりとり」は私もシステム監査担当者の方や、SEさんとお話する機会が多いのでよく承知しているつもりです。
ただ、それは内部統制システムの有効性を向上させることにつながるのは当然のこととして、「ある基準をクリア」する、つまり金商法上の内部統制が認められた趣旨と合致しているものなのでしょうか?また、たしかに会計データとIT統制とは関連するイメージが浮かびやすいと思いますが、メールの保存義務違反や修正廃棄の容易性といったことも、会計データの正確性確保と同様に財務報告の信頼性確保にとって重要ではないかと思います。(あくまでも金商法にJ-SOXを導入した経緯から・・という意味であります)現実にすでに導入済の企業も多いと思うのですが、こういった内容はJ-SOXとは無関係なんでしょうかね?私は大いに関係あると考えておりますが。
投稿: toshi | 2007年6月17日 (日) 12時45分
コンピュータ屋です。
TOSHI先生、ご質問の件、
「IT統制の不備は重要な欠陥につながらない」と言うことの話の出所。
実施基準の87ページに
「③ ITに係る内部統制の有効性の判断
ITに係る全般統制の不備は、財務報告の重要な事項に虚偽記載が発生するリスクに直接に繋がるものではないため、直ちに重要な欠陥と評価されるものではない。」
となっています。
ただし、IT業務処理統制は、一般的に業務プロセス統制と一緒に評価しますので、これは除きます。
すこし、説明不足ですいません。
投稿: コンピュータ屋 | 2007年6月17日 (日) 12時48分
社内メールが全部記録に残っていれば、社内の意思疎通や意思決定過程が明らかになるので、社内監査や行政・司法官庁にとって便利です。
例えば社内会議のメモを全て作成し破棄を厳禁するか、取締役会や重要会議を全て録音するか、などと同様に、費用対効果で考えれば足ります。(社内メールを全て保存するのは、サーバ容量の問題もあり、現実的ではありません。社内メールの大部分は、同僚との飲み会の約束、瑣末な連絡事項、出張時の待合せ時間と場所、・・・)
どこの会社も文書管理規則はあります。そこで規制対象となっているような意思決定や情報がメールでのみなされているなら、それを保管義務の対象すれば十分と感じます。電子メールを文書と区別して取り扱う理由はありません。(組織や団体が、区別してより厳重に管理すると判断するのは自由ですが・・・)
投稿: IT統制とメール管理 | 2007年6月17日 (日) 13時06分
ご無沙汰さたしております。。。
いろいろとコメントをしたいトピックスがありましたが、なかなか書けずにおりました。。。
さて。。。本日は長めのコメント・・・
ご無沙汰さたしております。。。
いろいろとコメントをしたいトピックスがありましたが、なかなか書けずにおりました。。。
さて。。。本日は長めのコメント・・・
(1)IT統制とメール管理の話ですが、、
=====
●ライブドア事件等で、電子メールが事実解明のために果たした役割は無視できないだろうし、財務報告の信頼性確保のための内部統制と無関係なわけはないと思われる。
●実施基準の「ITの利用」でも、「統制環境の有効性を確保するためのITの利用」として電子メールの重要性について書かれてある。
しかし、
●システム監査に造詣の深い先生方が、あらゆる角度からIT統制の文書化について解説をしているが、「メール管理」のことがまったく触れられていない。
●メールの管理は、経営者評価やIT統制監査などの対象となるはずだから、どういったレベルまでのメール管理をすれば内部統制報告制度上のIT統制としては合格基準なのか、ある程度感覚として知っておきたい。
=====
ということですが、コンピュータ屋さんが触れられているように、
電子メールが、財務報告の信頼性に関係するのであれば、それは評価対象となりうります。実際にあるとは思えませんが例えば、経費の金額の入力処理を電子メールシステムを利用している場合など。。。また、経費の承認入力を電子メールシステムを利用している場合も、その信頼性を確保するために電子メールシステムに対するIT全般統制も評価対象と評価する場合もありえるでしょう。。。そういう意味で、いわゆるJ-SOX対応を考える場合には、電子メールシステムも他のシステムと同様に評価対象となりえます。
しかし実際は、財務報告の信頼性を確保するために電子メールシステムが果たしている役割は例えば、販売システムや経理システムといった業務処理システムに比べると小さいのが一般的です。
また、電子メールシステムが「情報と伝達」等のツールとして重要な役割を果たしている(例えば、会計処理の変更等に関する通達を電子メールで関係者に周知させる仕組みがある)といった場合であっても、一般的には
・その仕組みがあるかどうかは評価の対象となりうるが、
・その電子メールシステムのアクセスコントロールが適切に行われておらず、成りすましにより会計に関する誤った通達がメールで流されるリスクに対するコントロールまでが評価の対象とはならない
と思われます。
では、その境目はどのように決めるの???ということが疑問になると思うのですが、
・やはり、「その内部統制が財務報告の信頼性にどれほど寄与しているか?」ということに尽きるわけで、悩んだら、他の内部統制と比較しながら検討していくことになると思います。。。
ってな感じでどうですか???
(2)内部統制リスクとしての「文書化と開示リスク」の件ですが、、、
私も(J-)SOX対応以外にも、リスクマネジメントに係るプロジェクトにいくつか関与したおことがありますが・・・経営者としては
・リスク評価をして会社のリスクが明らかになればなるほど経営者のリスクが高まるんとちゃうの???
・リスク評価の結果を文書として残したらさらに裁判のときに不利になるんとちゃうんか???
という話はでてきます。それは、プロジェクトを開始する前からは予見できるプロジェクトリスクですので、リスクマネジメントの契約をとる前に上記のようなことが議論されるので、覚悟は決めてください。。。ということになります。で、契約がとれない可能性が高まることになると思いますが、やはり、覚悟もない経営者とともにプロジェクトをするのはコンサルティングする側のリスクになりますので、そこは無理せずに断るか、リスクを抱えたままプロジェクトに突っ込むかという判断になります。
経営者としては、
・会社にどのようなリスクがあるかを知ること
・それにどのように対応するかを決めることは
会社経営上の重要な責務でしょうから、それによって自らのリスクが高まるのでこのようなことをしたくない。。。というのであれば、
・経営者をやめるか
・プロジェクトをやめるか
しかないようにも思えます。。。まぁ、やわかい春風のようなキャラで、しら~ってそのように言うことにしています。。。このあたりは、統制環境(経営者の姿勢)ということになりますね。。。
(3)IT統制の不備は重要な欠陥につながらない、というのは、一般的なご意見なのでしょうか?の件ですが、
コンピュータ屋さんに対する質問かもしれませんが、横から回答です。すみません。。。
これもその不備が財務報告の信頼性に関してどれほど影響があるかによります。例えば極端な例でいえば、会計システムが従業員全員が誰でもアクセスできて、かつ勝手に変更されてもその変更を発見できないようなシステムであれば、やはり重大な欠陥と評価されうると思います。しかし、実施基準にも書かれているとおり、IT全般統制に不備があったとしても、財務報告の信頼性に対する影響はある意味間接的ですから、直ちに重大な欠陥となることは少ないと思います。しかし、IT全般統制に不備があれば、やはりIT処理やIT業務処理統制の信頼性を確認できませんから、IT業務処理統制に依拠した統制を利用して評価してもよいのか???という疑問が生じ、結果として業務処理統制が評価できず、重大な欠陥があるという結果に結びつく可能性はありえますね。。。
ってな感じですかね。。。
=====
長文のコメント失礼しました。。。
投稿: 丸山満彦 | 2007年6月17日 (日) 13時40分
丸山さんのご意見に賛成で、さらに私が意見を述べても大した付加価値もつけられないのですが、私流の整理をひとこといわせて下さい。
IT統制の中の電子メール管理は財務報告の信頼性に係る部分については、それから直接的に財務情報がつくられていく場面が少ないので、そういう場面では評価対象にならないと思います。しかし、例えば取引の実在性が問題になりうるような取引類型については、担当者のメールは実在性が疑われるような行為、すなわち多くの場合違法行為の存在を発見ないし推認させる道具となりうるわけです。それゆえ法令遵守にかかる内部統制により関連するというべきですが、こういう場面は、まさに内部統制の各目的の相互の関連性が濃厚にでるところなので、会社がそのような取引類型(例えば介入取引)を頻繁に行うようなビジネス環境に身をおいているならば、そのようなメールの管理はIT統制の問題として財務諸表の信頼性に係る内部統制評価の対象になると考えるべきであると思います。
このような場合に、メール管理について発信者が自由に削除できてサーバにまったく残らないような設定を行っている場合には、IT統制の不備といえるでしょうが、重大な欠陥といいうるかは疑問ではないでしょうか。おそらく、他の管理方法の欠如とあわせ技で、重大な欠陥となるという感じではないかと思います。
ちなみに金融検査の対象となる証券会社や金融機関では、発信者が削除してもバックアップが一定期間残るようなシステム設定がされているのが通常で、これがないと金融庁からは大目玉をくらうことが予想されます。データが意図的に削除されたケースは論外でありますが、そうではなく、データ保存期間が短いとそのような統制は大きく疑問視されるであろうという感覚があります。ちなみに、海外の監督機関では永久保存を義務付けている国がいくつかあります。ただし、これはディスカバリのルールとも関連しているので、内部統制のみとただちに結び付けられないのではと思います。
投稿: トモ | 2007年6月17日 (日) 23時56分
トモさんの「会社がそのような取引類型(例えば介入取引)を頻繁に行うようなビジネス環境に身をおいているならば、そのようなメールの管理はIT統制の問題として財務諸表の信頼性に係る内部統制評価の対象になると考えるべきであると思います」というご指摘は、全くその通りと思います。
メール監査の証拠能力は、日興コーデで市民権を得たように感じますが、現実に体験してみれば、その威力には全く驚かされます。これまでは、不祥事等が起こったときに、社員にヒアリングをしても、なかなか裏を取ることが難しかったのに対して、メールが存在するおかげで、社員の発言の真偽がかなりの場合、瞬時にしてわかるといっても過言ではありません。
問題はコストとの兼ね合いだと思います。しかし、最近、私どものところに導入したメール管理システムは、従業員300人程度の我々の規模の場合、月間コストは10万円程度です。これで、スパンメールの防止、機密情報漏洩の防止のほか、過去のメールがDVDに保存され、必要なときには瞬時に再現してくれます。こうしたビジネスは、もっと拡大してもいいのではないかと思います。
このように、メール管理システムは、不正防止の抑止力になり、いざ不祥事が発生すると社内捜査に絶大な力を発揮し、裁判沙汰になれば強力な証拠能力が認定されるという八面六ぴの大活躍が期待されますので、実施基準等でどのように扱われていようと、経営力の向上を目的とする内部統制システムを整備する上では、不可欠なインフラではないかと考えております。雑駁な議論ではありますが、実務体験から感じることを記させていただきました。ご容赦ください。
投稿: UNKNOWN | 2007年6月19日 (火) 17時43分