契約時の落とし穴

シス蔵　「会計システム保守の中途解約損害金について」
http://syszo.com/okweb3/EokpControl?&tid=11386&event=QE0004

　法務部を持たない中小規模の会社にお勤めの情シス担当者（私もその一人）にとっては、他人ごとではありません。最悪の場合には経営陣から「選定ミス」「契約書チェックミス」という二重のミスをの責任を問われたり、切腹を命じられたりする可能性もあります。

　「医療保険の契約前説明と一緒で、言わない方が悪い」「消費生活センターに訴えろ」という方はあまりおられないとは思いますが、一応補足しておきます。会社同士の契約の場合、守ってくれる法律はほとんどないし、国も面倒を見ないのです。これは個人事業主が商売上の立場で契約した場合も同じです。消費者というのは個人であって、契約書をくまなく読むとかそういうことには限界があるからこそ法律で守られています。しかし、法人の場合には「国に頼らず自分たちでどうにかしろよ」というのが基本的な考え方です。判子をついてしまった後で後悔しても遅い、ということになります。

　万一、ひどい目にあった!!という場合には会社同士の話し合い、あるいは弁護士を交えての話し合い、それでもだめなら裁判を起こすしかありません。会社同士の契約は厳しいのです。

　内部統制の取り組みの一環として、私の会社では昨年末から「10万円以上の発注または保守料金が月5万円以上となる場合には、契約書のチェックを担当者・課長・部長がそれぞれ行う」「500万円以上の契約書については顧問弁護士に依頼し助言を受ける」こととしています。これで内部統制に対応できているかどうかはまだ不明です。もっと厳しくしないといけないかもしれません。これで完全に上記のようなトラブルが防げるといいのですが、まぁ金額の大きいものから注意するしかないですね。背筋が凍ります。

<シス蔵管理者様へ個人的メッセージ>ブログの内容に直接関係ない、同内容のコメントを複数人のブログに相次いで投稿すると、「スパム」とみなされてフィルタリングされます。お気持ちはわかるのですが、もっとうまい手段を考えないとその方法はうまくいかないのでは。

内部統制で赤字決算になったりして

残念ながら、内部統制構築には結構なお金がかかりそうです。株をお持ちの方は、その会社の業績予測に注意してください。内部統制のために下方修正なんてこともあり得るかもしれません。

　わが社では数千万の支出を見込んでいますが、これもあまり当てになりません。内部統制報告書を提出するまでにどれだけ形を整えればいいか読めないからです。コンサルがOKを出したところで監査法人が「これではいかん」といえばそれはいかんのです。会社はあわててやり直すはめになりますし、コンサルはおまんまの食い上げです。
　で、監査法人はどのレベルでOKを出すのか?出さないのか?・・・実は、監査法人自体がまだ明確な指針を示せない状況です。今の時期に明確な指針を示せる監査法人はごく一部であろうと思います。監査法人にとっても初めてのことなので。よって、会計士はまだ多くを語りません。
　そうなると、会社とコンサルは「このくらいやれば監査でひっかかったりしないだろう」というボーダーラインを仮定し、念のためそれを上回る体制作りをしていくことになります。怖いので。

　というわけで、ある種の過剰投資が内部統制構築に向けて行われることになります。ぎりぎり黒字のはずだった会社は内部統制のための支出で赤字になるかもしれません。大企業では何億と費用を読んでいたりするとのこと。ただしこれもあくまで推測レベルなので、今の時点ですべての費用が会社の予算として計上されているとは限りません。その場合には、費用が明らかになった時点で業績の下方修正もあるかもしれません。・・・ん？内部統制構築の予算を正確に査定するための内部統制ができていないために、業績予想が外れるリスクが。。。

わが社の内部統制

先進的な企業では、内部統制の作業はとっくに終わって、ログ収集テストなどの最終作業に入っているところもあるはずです。が、極めて後進的、むしろやりたくないけど嫌々、なわが社は、現在文書化の作業を始めたばかりです。

作業の大枠は文書化→リスク評価→システムや社内規程の構築→総仕上げ→最終確認ということになりそうです。

わが社では、少なくとも文書化とリスク評価について、ベンダー系のコンサルの支援を受けています。ベンダー系のコンサルでいいのかどうかやや不安ではありますが、監査法人系のコンサルよりは安く済むし、自社の監査法人に気兼ねする必要もありません。なによりいまさら監査法人系のコンサルを受けようとしても人手不足の折、厳しいでしょう。

さて文書化ですが、いちおうコンサルから示された雛形があって、それにそって現状をリストアップしていきます。情シスで言うと、どのようなシステムが動いていて、どのような状況で、どのような規程が整備されているか。これ自体はPマークなどの取り組みの最初と似ているようです。PマークやISO、ISMSをとっている会社では、もともと使い回しの効く資料がすでにあるかもしれません。
それが終わると、いよいよ細かいところのリスク評価作業です。現在わが社はこの段階。いよいよシステムのフロー図の出番です。自前で書ける部分などは自前で書いていますが、システム開発会社に問い合わせたり、別費用を払って作ってもらったりしています（本当は自前で書けないといけないわけですが、なんせヘタレですから）。こいつに結構時間がかかりますが、こればかりはしょうがないです。

もう一つ。システムテストの話。これは先ほどの大枠の話で言うと「最終確認」になります。監査法人の指示でシステムにわざと誤ったデータを流したりする試験です。相当に難儀な話ですが、監査法人によると「誤ったデータを流したりすることまでは考えていない」とのこと。すでに動いているシステムに誤ったデータを流すということは、最悪の場合システムを止めてしまうほどの大事件です。会社の業務が全て止まりかねません。よってそこまでは求めないが、今後の新しいシステムについてはこの限りにあらず、とのこと。一安心です。

「内部統制」の第一歩は他部門と監査法人との協力関係構築

さて、「内部統制について経営者が乗り気でない」ということで悩んでいる同業者さんも多いかと思います。そして、多くのマニュアル本にはこう書いてあります。

「経営者をひたすら説得せよ。何度でも説得せよ」

これは正しくないと思います。情シスのボスが社長を繰り返し説得できる役職に就いているケースは、そもそも多くありません。そして、経営者は個人情報保護法で懲りています。「金ばかりかかって、それで我が社から情報漏洩が確実に防げるようになったのか？絶対に漏れないとも限らない。あれだけ金をかけたのにどれほどの意味があったのか」と。

私の答えはこれです。

「経理部門や社内監査役など、社内の部門と協力して監査法人と打ち合わせよ。監査法人を使って経営者を説得せよ」

今回の内部統制は、ご存じの通り監査法人が内部統制監査を行います。重大な見落としがあれば、監査法人も責任を問われます。そして全ての監査法人は中央青山の悲劇を身近な問題としてとらえています。だから、監査法人と情シスは、目指すものはほぼ同じです。「問題を起こしたくない」。

監査法人と打ち合わせてください。「経営者にやる気がない」「予算が取れない」と素直に話してください。。監査法人は「それでは困る」「やる気がないなら監査を引き受けられない」「監査できなきゃ上場廃止」と言うはずです。その言葉を確実に社内に広めてください。監査役からも経理部からも経営者に話してもらってください。監査法人にもやる気がなかった場合にはちょいと困るわけですが、その場合には

• 適当に監査を通してくれる監査法人であり、適当にOKをくれそうならそれはそれでいいのかも（ん？ただし、それは株主に対して背信的な態度ですから、どうでしょう）
• ギリギリになってから「内部統制」と騒ぎ出す監査法人。監査法人を変えたいところですが、まぁ現実的ではないですよね。そんなときは他の監査法人系のコンサルの営業に話を聞きましょう。なんなら経営者に会わせましょう。経理部門や社内監査役を巻き込むことを忘れずに。

このどちらかかと。監査法人に「うちが内部統制で問題起こすと、おたくもやばいですよ」と脅すしかありませんね。。

一番のポイントは、経理部門や社内監査役、総務部門を巻き込むこと。「やばいですよ」と経営者に対して大合唱すれば、経営者も刷り込まれて、自然と考えを変えてくれるはず。それでも経営者の態度が変わらなかったら、転職を考えるのも一つの選択かも。内部統制ってそんなレベルの話です。

「内部統制」ことはじめ

内部統制はそもそも日本の企業運営に向いてない。これはもう間違いないです。内部統制というのは、究極的には社内の全作業をマニュアル化して、そこから逸脱せずにやろうという仕組みだからです。仕入れのマニュアル、製造のマニュアル、見積のマニュアル、値引きのマニュアル。。。

日頃「マニュアル通りにやれ」というのは、一部の現業部門に限られているのではないかと思います。コンビニの店員や駅員、原子力発電所、精密機器の製造現場など。営業部門などで「マニュアル通りにやれ」という会社があるとすれば、それは結構変わった会社でしょう。「経理部門や総務部門がマニュアル通りにしか動いてくれない」と嘆いている営業マンや経営陣もいるのではないかと。そして経営陣であれ、上司であれ「マニュアル通りにやればいいってものじゃない。独創性をもて、臨機応変にやれ」と部下を指導してきたはずです。それが日本の企業です。

そんなわけで、私を含め情シスの皆さんは「内部統制？金ばっかりかかっていいことがない」と思っています。個人情報保護法の悪夢再来？くらいに思っている人も少なくないはずです。さらに悪いことに、経営陣も乗り気でないところが多いと思います。

さて、世の中で（例えば某業界向けサイト）言われている「内部統制」のやり方は必ずしも正しくないと思います。それらについて、これから少しずつ書いていこうと思います。