ビジネス法務の部屋

今年3月に大規模なシステム障害を発生させてしまったみずほ銀行の事故をテーマにした「システム障害はなぜ二度起きたか」（日経コンピュータ編集　著　日経ＢＰ社　1500円税別）を読みました。情報システムの世界・・・といいますと、典型的な文系人間には、なにやらコンピュータ言語が羅列され、とてつもなく難しい世界であり、いわば本件も技術者でないとわからないような書物ではないかと考えておりましたが、専門用語はほとんど使用されておらず、情報システムの素人にも極めてわかりやすく事故の分析がなされております。

「二度起きたか」とありますので、一度目があるわけですが、これは三行が統合された直後の2002年4月の大規模なシステム障害です。そのときの日経コンピュータさんの事故分析の内容も掲載されており、こちらも「なぜシステム障害が発生したのか」、その原因を知るについては非常に興味深いところです。私の事務所の顧問ＳＥさんは上場会社の情報システムを運営する立場にあり、普段の業務上のボヤキも聞いておりましたが、本書を読んで「なるほど、ボヤキたくなることもあるやろなぁ」と。

今年３月のシステム障害事故に関する特別調査委員会報告では、約３０の原因を特定するわけですが、本書を読むと、技術的なミスの大半は経営判断上のミスに起因していることがわかります。たとえばみずほ銀行さんの「勘定系システム」はすでに23年も前のシステムをそのまま使っていたそうであります（なお、開発時のシステム部門の方々はすでに退職）。ただ、古いシステムをそのまま使い続けていること自体を問題視しているわけではなく、ほかの大手都市銀行のなかにも、そのまま古い型式のものを現在も使っているところがあるわけでして、ただ、その都市銀行さんとみずほさんとの違いは、その都市銀行さんの場合、どのようなミスが発生する可能性があるのか、きちんとリスク評価を行い、そのリスク対応をされていた一方において、みずほさんは明らかにしていなかった、ということです。また三菱東京ＵＦＪさんも、三井住友さんも、同様のシステム障害によって痛い目にあった経験があり、その経験から情報システムの抜本的改革に巨費を投じたにもかかわらず、みずほさんは過去の教訓を活かさなかったということにも触れられております。

そしてもう一点、内部監査や外部監査が機能していれば、みずほ銀行さんやみずほの情報サービス会社さんにおいて、「点検」や「テスト」が機能しなかった事態は回避できたのであり、ＡＴＭの全面停止の事態にまで至ることはなかったのではないかと指摘されているところであります。「いずれも、直接的な原因はシステム部門にあるものが多い。だが、その背景にある根本的な原因を見失ってはいけない。根本的な原因とは、みずほ銀行とみずほフィナンシャルグループの経営陣のＩＴ軽視、およびＩＴへの理解不足である」（同書４３ページ）という本書の主張が、この本で書かれているすべてを表現しているところであります。

ところで8月30日に、日本監査役協会のＨＰにおいて「ＩＴガバナンス報告書　監査役に期待されるＩＴガバナンスの実践」なる報告書が公表されました。会社法上の内部統制、金商法上の内部統制報告制度に分けて、いかに監査役がＩＴガバナンスを実践すべきか、具体的なＱ＆Ａ形式で解説されており、必読だと思います。法律家と会計士が、そして監査役と内部監査部門が「内部統制」を語り合っても、なかなかわかり合えない。これは当然のことであり、そもそも語る「内部統制」の歴史も違えば、語られる背景も違うわけでして、私自身、これに気づくのに5年ほどかかってしまいました（笑　しかしこの「気づき」は非常に重要でして、なぜ最近「会計倫理」が学問上でも実務上でも重要視されてきたのか・・・ということにも関連するところであります）。ようやく、内部統制を見るべき視点が監査役と会計監査人が異なる・・・ということが平成23年改定の監査役監査基準で明らかになったわけで、いわばこのＩＴガバナンスへの監査役の視点も、その延長線上で語られるものであり、非常にタイムリーではないかと考えております。

たとえばメルシャンの事件も、アイ・エックス・アイ事件も、その架空循環取引が長年発見できなかった要因のひとつとして、内部監査部長と監査役が同じ目線で「内規違反」の事実を見ていた点が挙げられます。決算財務プロセスと業務プロセスの異常、そして統制環境の異変にそれぞれ気づきながら、その情報を共有できなかったところに大きな問題があったわけで、たとえばＩＴシステム障害の原因が現場の責任と経営者の無関心にあるならば、やはり監査役にもＩＴリテラシーをもって取り組むべき視点があると思います。たとえば優秀なシステム技術者がいたとしても、その技術者が転職してしまったらどうなるのか、長年基幹システムを使い続けて、開発者や運営責任者が退職してしまったら引き継ぎはどうなるのか、リスクは十分に想定されているのか、想定されるリスクが現実化したときのマニュアルは存在するのか（実際、みずほさんの場合、存在しなかったそうであります）等、とくに情報システムについては高い知識がなくても、情報システム担当者が社内で気持ち良く仕事ができる体制を整えるための具体的な検証はできるはずであります。

これまであまり監査役協会さんのほうでは、ＩＴ統制に関する解説書というものは見当たらなかったように思いますが、これを読むと「食わず嫌い」が少しは治癒されるようですし、またなによりも、大規模なシステム障害に陥る前に、社内で早期発見、早期対応を可能とすることへの監査役の寄与というものを感じることができるものと思われます。

金融商品取引法上の内部統制評価報告制度に関する「公開草案」も公表され、いよいよ草案自体に対する議論も始まるものと思われます。第一法規出版社主催の「緊急内部統制セミナー」では東京、大阪、名古屋で内部統制部会のメンバーの方々が実施基準の解説をされる、ということでして、おそらく満員盛況のセミナーになるんでしょうね。（ちなみに、私も大阪会場分につきまして、早速申し込みましたが・・）

大きな枠組みで申しますと、この制度は金融商品取引法上の「流動性の高い事業型有価証券」に関する企業情報開示制度のひとつ（制度の柔構造化）という位置づけでありますので、金融商品取引法の制度趣旨との整合性を常に考えておく必要があると思います。あたりまえのことかもしれませんが、内部統制を有効と評価するための水準とか、内部統制監査における適正意見表明の最低水準という概念（線引き）をどう考えるのか、これはおそらく実施基準を一読しても明確な回答は出てこないはずです。そういった場合に、やはり法律の制度趣旨とか、金融商品取引法の企業情報開示制度の中に、内部統制評価報告制度を導入した経緯などを参照しながら検討していく作業は今後のステップとしては不可欠だと思います。

たとえば、内部統制評価に非常に厳格に対応する上場企業があったとします。この企業の経営者は、一般に公正妥当と認められる内部統制評価基準に従うと、自社の内部統制には不備があると認められ、その後の不備解消の努力もむなしく事業年度の最終日までその欠陥は補正できず、「内部統制は不備がある」と評価したとします。しかしながら、内部統制監査を担当する監査人は、会計基準にしたがえば有効と判断していい、と考えている、としましょう。この場合、内部統制監査を担当する監査人（監査法人もしくは公認会計士）は、経営者の評価は間違っている（つまり、この企業については、他社の内部統制評価と比較しても、一般に公正妥当と認められる内部統制評価基準によれば内部統制は有効である、と判断される）と意見表明する（つまり、経営者意見について不適正意見を述べる）ことは十分ありうることなのでしょうか？理屈のうえではありうると考えられるでしょうが、さて財務報告の信頼性を確保するための開示情報という観点からみますと、一方で企業が「信用性に問題あり」と述べて、もう一方では監査人が「信用性には問題なし」と述べているわけです。財務諸表監査の場合には、経営者が数字によって意見を表明し、これに監査人が「信用性あり、なし」と意見を出すわけですから、これは投資家の自己責任で判断する材料としては、わかりやすいですね。しかし、数字を出した企業自身が「信用性はない」と言いながら、監査人が「信用性あり」と意見を表明したとしますと、そもそも投資家は開示情報のどれを信用していいか混乱するだけであって、投資家の自己責任の根拠となる企業情報開示制度としては、おそらく不適切なものになってしまうのではないでしょうか。もし今後、証券取引所が、この内部統制評価報告制度の運用を「上場基準」に反映させることになるとしたら、上記のようなケースではどういった取扱をするのか、非常に興味のあるところです。（企業側が信用性に問題あり、といいながら監査人が問題なし、と意見表明した場合に、もし粉飾決算や不正経理問題が発覚しますと、監査人の責任問題はクローズアップされる可能性も高くなりそうですね）

普通に考えてみましても、内部統制監査をされる監査人の方の監査スキルというものは、どこまで信用性があるのでしょうか。これは経営者による内部統制評価報告書に監査証明をつける、というものですから、「開示情報の適正性」に関わる問題として無視できないところだと思います。ある監査人は「甘い」けどある監査人は「厳格である」といった事態が発生する可能性というものは、いくら会計基準の適用のプロとはいえ、これまでの長い歴史を持つ財務諸表監査の場合とは大きく異なるところではないでしょうか。そこで、内部統制監査における「品質管理」を誰が担保して、開示情報としての適正性を確保するのか、といった問題にぶつかるような気がします。たとえば実施基準には「監査人は内部統制監査を行うに当たっては、本基準のほか、監査基準の一般基準および監査に関する品質管理基準を遵守するものである」と記述されております。したがいまして、いわゆる監査基準における「品質管理基準」に監査人が従うことで内部統制監査の品質管理はなされている、とも言えそうです。しかしながら、会社法におきましては、会計監査人の内部統制を監査役が報告を受ける、といった制度が会社法規則において定められております。これは会計監査人への監査役の監督手続を経ることで、第三者に公表される計算書類の適正性が担保される、との考えに基づくものでありまして、事後チェックである品質管理制度だけでは公表数字の適正性は担保できないことを物語っているように思います。これと同様、金融商品取引法における企業情報開示に関する手続の適正を重視するならば、やはり評価報告書が開示されるまでの手続の中で、こういった監査人の内部統制監査のチェックというものも（理屈のうえでは）考えておかなければいけないのではないでしょうか。たとえば、監査役は、その内部統制監査を担当する監査人のスキルについて、監査法人の研修制度や、監査経験などからみて問題なし、と判断する必要がある、といった議論をどこかでしておく必要があるかもしれません。

この実施基準の公開草案を読んでおりますと、全社的内部統制評価と業務プロセス評価の関係とか、ＩＴ統制の基本的枠組みとか、内部統制監査とか、いたるところに会社法や金融商品取引法の制度趣旨、導入経緯との整合性から由来する疑問点が浮かび上がってくるようですね。