日曜日にもかかわらず、昨日のIT統制とメール管理のエントリーには、有識者の方々より多くのコメントを頂戴し、どうもありがとうございました。(肝心の管理人は「父の日」ということで、昼から家族と出かけておりまして、コメントをお返しできず申し訳ございませんでした)実は他のエントリーのアップを予定しておりましたが、皆様方の真摯なご意見を読ませていただきまして、その感想を続編として書かせていただきます。なお、閲覧されていらっしゃる方には、昨日のコメントのほうが多数説(おそらく現在の通説)であり、私の意見は少数説(一般に公正妥当と認められる会計もしくは監査の基準の解釈からは離れているかもしれない・・・説)とお考えいただき、あくまでも問題提起といった意味でご理解いただけますと幸いです。したがいまして、昨日のエントリーのコメントは、内部統制システム整備運用にあたり、たいへん有益なものではないかと思いますので、どうかご参照ください。
IT統制(金商法上の内部統制報告制度における)と電子メール管理の関係につきましては、やはり「財務報告の信頼性確保」といった内部統制の目的との関係では、その評価や監査対象としてはそれほどのウエイトは占めない・・・といった意見が多数説であると私は昨日のコメントから理解いたしました。(したがって、近時のIT統制に関する解説書では、あまり触れられていない、といった結論になると思います)それでは、そういった立場の方々は、下記のように書かれている「実施基準」はどう解釈されるのでしょうか?
(財務報告に係る内部統制の評価及び監査に関する実施基準Ⅰ内部統制の基本的枠組み2内部統制の基本的要素(6)IT情報技術への対応②ITの利用及び統制より抜粋)
イ 統制環境の有効性を確保するためのITの利用
・・・(中略)・・・
また、ITの利用は、統制環境の整備及び運用を効率的に行っていく上でも重要となる。たとえば電子メールといったITを利用することは、経営者の意向、組織の基本的方針や決定事項等を組織の適切な者に適切に伝達することを可能とし、統制環境の整備及び運用を支援することになる。
一方で、ITの利用はたとえば経営者や組織の重要な構成員等が電子メール等を用いることにより、容易に不正を共謀すること等も可能としかねず、これを防止すべく適切な統制活動が必要となることにも留意する必要がある。 |
上記の前段落のほうは、皆様方もご指摘のとおり、電子メールが情報伝達手段として使用されるにあたっての財務報告の信頼性に関係する業務プロセスを問題としていることがわかりますので、これについては私も異存はございません。しかしながら後段落のほうはいかがでしょうか。防止すべく適切な統制活動が必要とされているのは、まったく財務報告の信頼性を確保すべき業務プロセスとは無関係なところで、電子メールの管理が要求されていると理解すべきではないのでしょうか。昨日はすこし説明不足でありましたが、そもそも内部統制報告制度が金融商品取引法に導入されましたのは、ライブドア事件もさることながら、コクドほか8社が「有価証券報告書虚偽記載」ということで監理ポスト入りした事例が発端となっていたはずです。つまり、大株主の記載において、虚偽の名義人を記載していた多くの企業のうち、悪質と思われた8社が処分の対象になった、というものであります。これらの事例は「株主に関する事実」の記載が問題となったケースであり、そもそも財務報告の信頼性確保のための「業務プロセス」そのものが問題となったものとは異なるのではないでしょうか。繰り返しになるかもしれませんが、そういった不正防止も「投資家保護を目的とした企業情報の開示のために要請されるもの」と考えるならば、「IT統制」といったものも、そもそも財務報告の信頼性確保のための業務プロセスにとらわれる必要はないわけでして、「正確性の反映」のためのITだけでなく、経営者による共謀などによる不正の防止のための統制もIT統制といえるのではないか、と感じる次第でありますし、それが素直な理解ではないか、と思うわけであります。IT統制というものは「モノ」だけを見つめるものではなくて、かならず「モノと人との関係」を扱うはずではなかったのでしょうか。(モニタリングの有効性を確保するためのITの利用に関しても、「モノと人」との関係が重視されるのではないでしょうか)たとえば経営者とITとの関係で捉えるとすれば、メール管理に関する統制の仕組み整え、その仕組みをおよそ経営者が理解することによって、「こんな仕組みがあるんだったら、社内で不正を指示することもできないし、意思連絡もできない」と悟ることができ、抑止的効果がはかられるかもしれません。人間は不正への誘惑があるからこそ、不正へと近づく(性弱説)のであるならば、こういったIT統制はまさに金商法が最も重視している経営者不正の低減に効果的なはずであり、その機能を果たすべき場面ではないでしょうか。これは純粋な「統制環境に関する評価、監査」の問題ではなくて、おそらくIT統制の問題でもあろうかと思われます。
日興コーディアルの不正会計事件のときには、外部第三者委員会の委員は(おそらく補助者も用いてのことだと思いますが)、一ヶ月間に社内メール50万件を調査した、との報告内容でした。そのうえで、子会社代表者の関与事実については一部メールがサーバーから一括削除されていたがゆえに認定を断念した、とのことであります。おそらく、この50万件には、本当にどうでもいいような社内メールも含まれていたのではないか、と推測いたします。それでも、そういったメールを丹念に調べていけば、「仮説の信憑性」を補強する証拠が出てくるわけであります。たしかに、メール管理そのものが財務報告の信頼性確保に向けた統制活動そのものとは無関係なように思えますが、こういった社内のトップクラスが社内メールの管理による効果を認識していたとするならば、不正への誘因がひとつ減ることになるのは間違いないところと思います。コメントのご指摘につきましては、議論を深めるきっかけとなりましたし、私がかなり誤解しているところもあるようにも思えますが、ちょっと心のどこかで咀嚼しきれないところがございましたので、あえて続編として感想を述べさせていただきました。