監査役に期待されるITガバナンスの実践
今年3月に大規模なシステム障害を発生させてしまったみずほ銀行の事故をテーマにした「システム障害はなぜ二度起きたか」(日経コンピュータ編集 著 日経BP社 1500円税別)を読みました。情報システムの世界・・・といいますと、典型的な文系人間には、なにやらコンピュータ言語が羅列され、とてつもなく難しい世界であり、いわば本件も技術者でないとわからないような書物ではないかと考えておりましたが、専門用語はほとんど使用されておらず、情報システムの素人にも極めてわかりやすく事故の分析がなされております。
「二度起きたか」とありますので、一度目があるわけですが、これは三行が統合された直後の2002年4月の大規模なシステム障害です。そのときの日経コンピュータさんの事故分析の内容も掲載されており、こちらも「なぜシステム障害が発生したのか」、その原因を知るについては非常に興味深いところです。私の事務所の顧問SEさんは上場会社の情報システムを運営する立場にあり、普段の業務上のボヤキも聞いておりましたが、本書を読んで「なるほど、ボヤキたくなることもあるやろなぁ」と。
今年3月のシステム障害事故に関する特別調査委員会報告では、約30の原因を特定するわけですが、本書を読むと、技術的なミスの大半は経営判断上のミスに起因していることがわかります。たとえばみずほ銀行さんの「勘定系システム」はすでに23年も前のシステムをそのまま使っていたそうであります(なお、開発時のシステム部門の方々はすでに退職)。ただ、古いシステムをそのまま使い続けていること自体を問題視しているわけではなく、ほかの大手都市銀行のなかにも、そのまま古い型式のものを現在も使っているところがあるわけでして、ただ、その都市銀行さんとみずほさんとの違いは、その都市銀行さんの場合、どのようなミスが発生する可能性があるのか、きちんとリスク評価を行い、そのリスク対応をされていた一方において、みずほさんは明らかにしていなかった、ということです。また三菱東京UFJさんも、三井住友さんも、同様のシステム障害によって痛い目にあった経験があり、その経験から情報システムの抜本的改革に巨費を投じたにもかかわらず、みずほさんは過去の教訓を活かさなかったということにも触れられております。
そしてもう一点、内部監査や外部監査が機能していれば、みずほ銀行さんやみずほの情報サービス会社さんにおいて、「点検」や「テスト」が機能しなかった事態は回避できたのであり、ATMの全面停止の事態にまで至ることはなかったのではないかと指摘されているところであります。「いずれも、直接的な原因はシステム部門にあるものが多い。だが、その背景にある根本的な原因を見失ってはいけない。根本的な原因とは、みずほ銀行とみずほフィナンシャルグループの経営陣のIT軽視、およびITへの理解不足である」(同書43ページ)という本書の主張が、この本で書かれているすべてを表現しているところであります。
ところで8月30日に、日本監査役協会のHPにおいて「ITガバナンス報告書 監査役に期待されるITガバナンスの実践」なる報告書が公表されました。会社法上の内部統制、金商法上の内部統制報告制度に分けて、いかに監査役がITガバナンスを実践すべきか、具体的なQ&A形式で解説されており、必読だと思います。法律家と会計士が、そして監査役と内部監査部門が「内部統制」を語り合っても、なかなかわかり合えない。これは当然のことであり、そもそも語る「内部統制」の歴史も違えば、語られる背景も違うわけでして、私自身、これに気づくのに5年ほどかかってしまいました(笑 しかしこの「気づき」は非常に重要でして、なぜ最近「会計倫理」が学問上でも実務上でも重要視されてきたのか・・・ということにも関連するところであります)。ようやく、内部統制を見るべき視点が監査役と会計監査人が異なる・・・ということが平成23年改定の監査役監査基準で明らかになったわけで、いわばこのITガバナンスへの監査役の視点も、その延長線上で語られるものであり、非常にタイムリーではないかと考えております。
たとえばメルシャンの事件も、アイ・エックス・アイ事件も、その架空循環取引が長年発見できなかった要因のひとつとして、内部監査部長と監査役が同じ目線で「内規違反」の事実を見ていた点が挙げられます。決算財務プロセスと業務プロセスの異常、そして統制環境の異変にそれぞれ気づきながら、その情報を共有できなかったところに大きな問題があったわけで、たとえばITシステム障害の原因が現場の責任と経営者の無関心にあるならば、やはり監査役にもITリテラシーをもって取り組むべき視点があると思います。たとえば優秀なシステム技術者がいたとしても、その技術者が転職してしまったらどうなるのか、長年基幹システムを使い続けて、開発者や運営責任者が退職してしまったら引き継ぎはどうなるのか、リスクは十分に想定されているのか、想定されるリスクが現実化したときのマニュアルは存在するのか(実際、みずほさんの場合、存在しなかったそうであります)等、とくに情報システムについては高い知識がなくても、情報システム担当者が社内で気持ち良く仕事ができる体制を整えるための具体的な検証はできるはずであります。
これまであまり監査役協会さんのほうでは、IT統制に関する解説書というものは見当たらなかったように思いますが、これを読むと「食わず嫌い」が少しは治癒されるようですし、またなによりも、大規模なシステム障害に陥る前に、社内で早期発見、早期対応を可能とすることへの監査役の寄与というものを感じることができるものと思われます。
| 固定リンク
コメント
お久しぶりです。中堅企業の内部担当者のtonchanです。
この件について内部監査人としての私の感想を少し述べてみます。
1.金融機関のシステム監査(内部監査)について
システム管理基準に基づく監査を行っているはずです。しかし、一般的には監査ではなく詳細なチェック項目による検査になっている可能性があります。システム監査人と業務監査人の合同による本当の監査が必要です。これがなかなか困難かもしれませんが(第一、経営者が内部監査に本当の信頼が有ったのでしょうか?)
2.内部監査の問題
内部監査をシステム、業務その他の統合的な監査として運用できる状況に有ったのかが問題です。勘定系システムはシステムが業務そのものになっています。その監査は業務監査と共同で行う必要性があります。
以上、私のような内部監査人からすると内部監査自体が社内(特に経営者)での認知が誤っているように感じます。私も含めて内部監査の認知
には高いハードルがあります。
toshi先生、今後ともよろしくお願いします。
投稿: tonchan | 2011年9月20日 (火) 15時28分
Tonchanさん、いつも有益なお話ありがとうございます。
私自身、内部監査とシステム監査の根本的な違いが分かっていないところがありましたので勉強になりました。また、企業の規模によっても少し内容は変わってくるのでしょうね。(^_^)いずれにしても、本日の三菱重工の件などにも見られるとおり、経営者が、どこまで熱心に取り組むかで、リスク管理も変わってくるように思いました。
投稿: Toshi | 2011年9月21日 (水) 01時24分
この本、売れているようです。品切れしていたから予約しましたが、出版元の話だと現状、重版出版日は未定らしいです。
誰か買占めしているわけではないですよねえ(笑)。ご参考情報でした。
投稿: 伊藤晋 | 2011年9月21日 (水) 18時28分
けっこう売れているらしいですね、この本。しかし、この本は2001年のみずほ合併時のシステム障害についても解説があり、さらに後だしジャンケンではない、システム障害への不安が解説されていましたので、とても参考になりました。そこで経営者の責任であることも述べられており、かなり説得的かなあと。興味深い内容なので、多くに方におよみいただきたいですね。
投稿: toshi | 2011年9月25日 (日) 22時49分
前回この本売れ切れています、と情報を掲載していただきましたし、都内の大きな書店を複数確認しましたが、そのまま。ところが、アマゾンで確認するとちゃんと在庫あり、さっそく申込み、昨日届きました。アマゾン社に対しては手法をめぐっていろいろと批判もあるようですが、こういう事実に直面すると、「さすがだなあ」と本当に便利さを感じます。
一応追加情報としてご報告申しあげます。
投稿: 伊藤晋 | 2011年10月 2日 (日) 22時30分