CompTIA（コンプティア）は、IT業界団体としてワールドワイドでCompTIA認定資格などを通し、健全な人材の育成に貢献しています。

現在巷では、内部統制に関する各種セミナー開催が活況を呈し、書店には内部統制やJ-SOX法特設コーナーが設けられ、入門書から専門書に至まで多数の内部統制関連書籍が平積みされベストセラー並みの扱いを受けています。IT関連業界では、内部統制の法制化を個人情報保護法施行に続く「追い風」として捉え、フレームワーク導入に関わる新規需要の喚起に注力しているようですが、ITを有効活用すべきユーザー側としては、この時流に流されることなく冷静に対応していく心構えが肝要と思われます。フレームワーク導入のみが先行し、業務におけるプロセスやコントロールの分析およびこれらの前提条件となる内部統制についてのビジョンやコンセプトの敷衍(ふえん)が欠落すると、フレームワークそのものは組織や社会を予期しない方向へ進めて行きます。直近の悪しき事例としては「個人情報保護法」の施行に際しての混乱が挙げられます。本来は情報の有用性と保護のバランスを実現させるものとして施行された個人情報保護法やそのフレームワークでしたが、その意図に反して情報の取り扱いをめぐる過剰反応が企業や地域社会で多発し、企業活動や情報提供の委縮後退が横行するといった新たな社会的弊害を生み出しました。情報を有効活用できず、情報漏洩も防止できない2つの好ましくない状態が並存しているというジレンマから未だ抜け出せない状況下にあることは明らかです。

筆者が初めて内部統制（インターナルコントロール）に関わる米国流の監査プロセスに遭遇した（内部監査の対象となった）のは今から20年ほど前の、1987〜1988年頃であったと思います。当時は、米国某大手コンピュータメーカで、コンピュータ輸出に関わるコンプライアンス業務に奔走しておりました。高性能コンピュータが共産圏に違法輸出されない（ココム違反事件を起こさない）よう、社内全体に強力なコントロールプロセスの実装を行い、社員にコンプライアンス教育を徹底し、コンプライアンスに関連する業務プロセス監視の日々を送っておりました。また、社員数が2〜300人から1,000人を超える規模に急成長するに伴い、従来の中堅企業規模を前提にした業務フローおよびプロセスを全面的に見直す必要に迫られ、ポリシー＆プロセデュアーマニュアル（Policy & Procedure Manual）策定作業も焦眉(しょうび)の急という状況下で、米国本社からインターナルオーディター（内部監査）のチームが派遣され、数ヶ月に渡って全社的なリスク分析が行われました。内部監査チームに同行して全国各地の営業所やサービスセンターを巡回し監査業務を支援することを通して、米国流の内部統制のコンセプトに触れ監査手法を目の当たりにすることができました。しかしながら、彼らの行ったことは特別なソフトウェアなどの監査ツールを用いるようなものではなく、現場での聞き取り調査を中心にした極々普通の業務フロー分析のみであったのが意外でした。
その後、よりエンドユーザーに近いポジションでマルチベンダーの情報システムに関わるために米国証券会社最大手某社の内部監査部門に移り、2年間システム関連を専門とするインターナルオーディター（システム監査またはEDP監査担当オーディターと呼ばれていました）として様々な内部監査業務を経験することとなりました。証券会社では、前職のコンピュータメーカで経験した以上に内部監査部門の位置付けが高く権限も強大なものでしたが、監査手法自体は前職で見聞きしたものと同様で特殊なものではなく、監査対象の業務フローおよびプロセスの精緻な分析による潜在的なリスクの特定が中心となっていました。これ以外にも後に、ドイツ系の証券会社やフランス系の銀行で被監査部門の業務を経験しましたが、監査手法および成果物としての監査レポートに大きな相違は見られませんでした。欧米の企業では、PDCAサイクルを基調にして日々の業務を遂行しますが、監査結果である監査レポートにおいても被監査部門は監査部門によって特定されたリスクに対するアクションプランの策定と実行を求められます。内部監査部門によるモニタリングはこのアクションプランをベースに継続的に行われますから、PDCAサイクルのチェック（モニタリングを含む）に関しては監査業務がデフォルトとして内包される欧米の組織構造においては明確に保証されていることになります。

筆者は一社員として四半世紀に渡り複数の欧米系の企業で監査部門および被監査部門の業務を経験して来ましたが、どの企業でも当然のこととして内部監査部門が中心となり業務フローおよびプロセスへの内部統制機能の実装支援とモニタリングが行われていました。また、内部監査部門は企業にとって必要悪であるといったネガティブな捉え方はなく、内部統制の積極的な導入が潜在的なリスクの特定に役立つことを経営層の共通の理解として、内部監査部門の専門的な分析機能やモニタリング機能を十分に活用しているといった印象を与えられています。特に、米国の金融業界では、SEC（US Securities and Exchange Commission：米国証券取引委員会）による縛りの強さや実刑の厳しさが原因となっているからでしょうか、インターナルコントロール原理主義といえるほどの徹底さや執拗さを持って内部統制が行われています。それでも金融不祥事を完璧に払拭するまでには至っていないのも周知の事実ではありますが。今後J-SOX法が施行され、日本の各企業において内部統制の実装がどのような様相を呈するか大きな関心を持って見守って行くことになりそうです。ただ、フレームワークの導入のみに終始して、事の本質を見失うと「仏作って魂を入れず」といった結果に終わってしまうのではないかと懸念されます。先ずは、誰のため何のための内部統制なのかについての熟考から始め、企業としてのビジョンを固めることが最優先事項であるのではないでしょうか。

次回はより具体的な話題として、CDIA+のドキュメント管理手法やCompTIAのスキルアセスメントの視点から情報サービスマネジメントの導入およびIT関連の人材育成について若干の考察を加え、内部統制導入に際してのビジョン構築のショーケースまで言及する予定です。

次回掲載 ： 6月下旬掲載予定

第3回コラム：「内部統制と人材育成」〜内部統制導入時に忘れられがちな人材育成〜
　　 有限会社bitlingua　取締役社長　佐藤謙二氏