2007年1月28日日曜日

米型「内部統制」は効果疑問

木曜日に突然ですが、自宅PCとプロバイダーへの接続が出来なくなました。土曜日にプロバイダーから技術員がきて、モデムを取り替えていきました(我家はCATV会社と契約しています)。当然、その間はインターネットへのアクセスは出来ませんでした。
そういう訳で、今日の話題は、一昨日金曜日の産経新聞の論説です。

以下は、産経新聞Webからの引用です。

【正論】神戸大学教授・加護野忠男 米型「内部統制」は効果疑問
神戸大学教授 加護野忠男氏(撮影・奥地史佳)
 ■日本企業に合わず競争力低下も
 ≪社内手続きを公式化する≫
 日本の上場企業が、厳格な内部統制システムの導入に向けて準備を進めている。アメリカのサーベンス・オックスリー法(略称SOX法)を手本に日本の証券取引法が改正され、新たに金融商品取引法が制定された。この新法は、本家の名前をとって「日本版SOX法」と略称される。
 この法律では、上場企業は2009年3月以降の最初の決算期までに、内部統制のシステムを作らなければならない。まず経営者が自己点検を行い、それを公認会計士が監査することが義務づけられる。内部統制システムの監査に備えて、経営者は業務の流れや社内手続きを公式化し、文書に記録させる必要がある。
 アメリカのSOX法は、エンロンやワールドコムなどで相次いだ粉飾決算を防ぐためにつくられたもので、この法を施行するために、企業が従うべき内部統制の手順が事細かに規定されている。アメリカでも細かすぎるのではないかという批判が出てきて、見直しが進められている。
 ところが日本ではかなり厳格なシステムが導入されそうである。このような厳格なシステムの導入が義務付けられると、企業はよい経営ができなくなる。投資家の利益も損なわれることになる。次の4つの問題があるからである。
 ≪コスト大きく組織硬直化≫
 第1に、このような制度は、その導入に大変大きなコストがかかる。ところがそのコストを正当化するだけの効果が期待できそうにない。
 第2に、日本の場合、このような制度は不要である。アメリカ型の内部統制システムは、経営者も管理者も必要に応じて外部から雇い入れるというアメリカの人事制度を前提にしてつくられたものである。
 日本の会社にはもっと効果のある仕組みがある。人事部を中心にした多重的な信頼チェックシステムである。日本のトップや管理者は、内部から時間をかけて昇進してきた人々がほとんどである。長時間の間に、その人物が信頼できるかどうかが、多くの人々の目でチェックされている。このような濃密な内部統制が行われているところでは、アメリカ型の形式的な内部統制システムは不要なのである。それよりも、人事スタッフを増員するほうがよほど効果的である。
 第3は、官僚主義の弊害が出てくることである。何事もルールに従って判断するという官僚主義的な仕事の進め方がうまく機能するのは、環境の変化がほとんどなく、顧客を待たせても問題が起こらない場合である。残念ながら、そのような恵まれた環境にある日本企業はほとんどない。
 最後の問題点は、日本企業の独自の強みが失われてしまう危険があることだ。日本の組織の強さは、現場がその知識に基づいて、ルールや手順を柔軟に変えていくことにある。それをトップダウンで決めてしまうと、企業としての柔軟性が失われてしまう。まさに角を矯めて牛を殺すという結果になってしまう。
 このような問題があるために、内部統制システムを導入すると、良い経営が行えなくなる。それにもかかわらず、硬直的なシステムの導入が義務付けられるのは、投資家の信頼回復、投資家保護という大義名分のためである。
 ≪投資家にとり大切なこと≫
 投資家にとって大切なのは、企業で良い経営が行われて、企業価値が上昇することである。にもかかわらず、投資家保護がこの本来の目的から外れてしまうのは、規制当局の論理が優先されてしまうからである。
 規制当局には、投資家にとって望ましくないことを避けさせようとする姿勢がある。そのようなことが起こったときに規制当局者の責任が問われるからである。規制当局には、投資家にとって良いことを実現させるという任務はないのである。そのために、不祥事が起こるたびに企業に課せられるルールが厳しくなっていく。
 最近の日興コーディアルの利益粉飾事件のように投資家をだまそうとする企業経営者は後を絶たない。確かにそのとおりなのだが、このような経営者は全体から見ればごくわずかである。にもかかわらず、このような例外的経営者を想定したルールがつくられ、健全な企業の経営の邪魔をしてしまう。内部統制のシステムはまさにそれである。
 硬直的な統制制度が導入されれば、日本企業の将来が心配だ。不祥事は防げるが、企業の競争力も低下するだろう。上手な規制をしないと、株価は上がらない。下手な投資家保護は投資家の利益にはならない。(かごの ただお)
(2007/01/26 09:36)


J-SOX法の対象なる企業は、同法への対応のために業務プロセスの文書化、手続きの再検証など、今後一年間で作業を終える必要があります。
現時点においてもSOX法そのものには、色々は議論があります。上記論説のように、無用だというもの、いや必要だという意見、ダイレクとレポーティング方式への見直しが必要だ・・・云々などなどです。
私は、SOX法のような内部統制の導入は有用だと考えています。ただ、どの程度まで実施すればいいのかという検討は必要だと思います。が、まずは企業内での遵法意識の向上でしょうね(法律だけでなく、社内規定なども含めて)。それが無ければ、どんなに高度な内部統制の仕組みを導入しても形骸化してしまいます。談合決別宣言後も地方支社で継続していた建設会社、取得したISO基準を遵守していなかった食品会社・・・ 制度は適切に運用されてこそ意義があるものですから。

2007年1月20日土曜日

「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)」

経済産業省において「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)案)」に対する意見公募、所謂パブリックコメントが始まりました。

「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)案)」の策定には、丸山副会長や原田元会長、日本大学の堀江教授などISACA東京支部の関係者も参加されています。約150ページと少々量がありますが、目を通して見ようかと思います。
「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)案)」
J-SOX対応もこれから本番、その作業の指針として有効だといいですね。

2007年1月13日土曜日

不二家 ISO14001認証取り消しか

洋菓子メーカーの不二家が消費期限切れの原材料、牛乳を使って製品を製造出荷販売していた事が発覚、営業停止に追い込まれています。
昨年11月に外部のコンサルタント会社との業務見直しの過程で事実を把握、その後も発表をせずに年末も製造販売を続けていたことのモラルが問われています。企業のモラルと同時に不祥事があった際の危機管理の上でも重大な失態といえます。それだけでなく、認証制度の信頼性を損ねる方向にも向かっているようです。

以下は、読売新聞Webからの引用です。

不二家ISO、経産省が臨時審査を要請…取り消しも
 大手菓子メーカー、不二家が認証を受けている品質・環境管理の国際規格「ISO」に関し、経済産業省が認証機関の関連団体に対して臨時の審査を要請していることが、13日分かった。
 不二家を巡っては、消費期限切れの原材料を使った洋菓子を製造・出荷したことが判明し、ずさんな品質管理が明らかになっている。
 審査結果によっては、ISO認証の一時停止や取り消しの可能性がある。「食の安全」への関心が高まり、食品メーカーの多くがISO認証を取得する中、不二家が認証の停止や失効に追い込まれれば、経営の打撃となる公算が大きい。
 経産省は、財団法人「日本適合性認定協会」を通じて、不二家の認証取得を担当した民間の認証機関に臨時審査を求めた。これを受け、認証機関が事実関係の調査に乗り出した。
 臨時審査の結果、問題があると判断すれば、〈1〉是正措置の要求〈2〉認証登録の一時停止〈3〉認証取り消し――のいずれかを決める。
 不二家は2001年から04年にかけ、国内5工場で環境管理規格「ISO14001」の認証を受けた。06年6月には、本社の品質保証部と資材部が品質管理規格「ISO9001」を取得している。
 協会は、消費期限切れの原材料を使った洋菓子を出荷していた時期が06年10~11月で、品質規格の取得直後である点を重視している。さらに、問題が判明して以降、埼玉工場で牛乳の在庫記録を残していなかったほか、札幌工場では原材料の仕入れ時期などを製造記録台帳に記載していないなど、品質管理のずさんさが相次ぎ明らかになっている。
 また、不二家は11日の会見で、「埼玉工場はISO認証を受けており、廃棄物が一定量を超えると、是正報告書を書かなくてはいけないため、(消費期限切れの牛乳を)捨てづらかった面もあったようだ」 と釈明した。この点についても、協会は「ISOは、品質管理や環境への配慮を目的としているのに、体裁を整えることを優先しては本末転倒」と事態を重く見ている。
 過去には、三菱ふそうトラック・バスが大型車の欠陥・不具合を隠していた問題で、認証登録を失効したほか、神戸製鋼所やJFEスチールが工場の排出物のデータを改ざんし、6か月の登録停止となった事例がある。
��2007年1月13日14時41分 読売新聞)


不二家はISO14001、ISO9001の認証を受けていたのですね。その企業が、環境/品質管理上の重大な失態を犯したのですから、認証取消しになっても反論の余地はないです。
 ”埼玉工場はISO認証を受けており、廃棄物が一定量を超えると、是正報告書を書かなくてはいけないため、(消費期限切れの牛乳を)捨てづらかった面もあったようだ」” 
だということですが、これなどISOのマネジメントシステムを理解していないとしか考えられません。廃棄量が一定を超えることではなく、是正処置がとられないことが問題です。是正報告が行われ、改善処置が実施されれば、認証基準が定めるマネジメントシステムが有効に機能していることの証しです。継続審査でも不適合とされることはないでしょう。今回のケースは認証制度への信頼をも揺るがしかねない問題を含んでいます。
(1) 認証取得企業の信用
(2) 審査が適切であったか
(3) 認証基準に問題がなかったか
(4) マネジメントシステムが有効であったのか
(5) 社内の取組みに問題がなかったのか
等など、認証制度の信頼性に係る様々な問題が指摘できるように思われます。当該企業、認証機関、審査機関をも巻き込んだ制度そのものへの議論に発展するかもしれません。経産省の要請により、認証機関/審査機関の調査が行われるようですが、その結果報告の公開を期待したいです。
消費期限切れの牛乳を使ったのは、定年後に再雇用されたパート従業員のようでうですが、そうしないと正社員から叱責されたと報道されています。認証取得に伴い制定された規約や手続き、プロセスの遵守義務は関連する全ての従業員にあります。実態と真相の解明、公開が待たれます。

2007年1月10日水曜日

ISMS認証制度についての話題に触れている丸山さんと長谷川さんのBlog記事へトラックバックしました。で、このISMS認証制度について、少しばかり私見を!

丸山さんのBlogに引用された記事によると、ISMS認証を得た日本企業の割合が世界で最も高いとのことです。
ISMSの認証取得は世界で3233サイト、Pマークは6360社
ISMS認証って、何なの?
某インターネットプロバイダー、某自治体、某TV通販会社等等、個人情報の漏洩で少なからずの損害を生じた企業の事例や個人情報保護法の施行などが動機となって、日本企業のISMSやPマークの認証取得に走らせているようです。しかし、ISMSやPマークは当該企業の情報セキュリティや個人情報の管理体制が構築されていることを認証するのであって、水準を保証することではありません、というのが私の認識、理解です。
しかし、我が社は認証を得た、だから情報セキュリティは大丈夫、ご安心下さいというような、理解が一部でされています。管理体制、マネジメントシステムが構築されているからといって、情報セキュリティが一定の水準にあることの保証には繋がらないちうことなので、JASAでは保証型情報セキュリティ監査普及促進プロジェクトを組織し、活動を行っているのです。
(ここ数ヶ月、プロジェクトの会合に参加できず申し訳ありません)
ISMSの認証が、何か免罪符のように扱われているような気がします。ISMSの認証があるからといって情報セキュリティ上の問題課題が皆無とは言えませんよね、と私は思うのです。そもそも、そんなことを目的としていません。審査の結果、情報セキュリティ上の課題問題が適切に管理され改善され得る体制、マネジメントシステムが構築されていると判定されたということです。勿論、このこと自体が有意義であり、認証取得自体が一定の情報セキュリティ水準にあることの証しであるとの意見もあります。何故なら、マネジメントシステムが存在すること、それが情報セキュリティに対する取組みがなされていることの実証だからということです。しかし、企業が求められる情報セキュリティのレベルあるとの保証ではないのです。元々、情報セキュリティの水準を判定することは目的ではないのですから当然のことです。
認証取得後にきっちりとPDCAのサイクルを回して、情報セキュリティの向上を図っていくことにISMS認証取得の意義があるのではないでしょうか?
皆さんのご意見を待っております。

2007年1月3日水曜日

ITGI JapanがIT CONTROL OBJECTIVE for SOX日本語版を公開

本年の投稿第一弾は、ITGJ Japanに関するものです。昨年、設立記念フォーラムが開催されたITGI Japanですが、そのHPにITGI JapanがIT CONTROL OBJECTIVE for SOX日本語版がUPされ、無償公開されました。

ITGI Japan ホームページ
日本でもJ-SOX法への対応が企業の主要課題として取り組まれています。このIT CONTROL OBJECTIVE for SOX日本語版は、その取組みの参考になると思われます。ISACA東京支部のメンバーが、各自の専門知識を生かして翻訳に当たりました。
このBlogをアクセスしていただいてる方々の中には、所属の企業でJ-SOX法対応を担当されている方も少なくないと思います。そうした皆様に是非参考にしていただきたいと思います。