システムの内部統制は"見せる"ためのデータ収集がカギ - カブドットコム

社団法人 日本情報システム・ユーザー協会(JUAS)主催のイベント「ITガバナンス2008」で、カブドットコム証券取締役代表執行役社長の齋藤正勝氏による「IT経営の実践～『見える(可視)化』から『見せる(開示)』化へ～』と題した基調講演が行われた。

企業経営におけるITが果たす役割や取り組み、方策を紹介し、議論を行う場として毎年開催されている同イベント。カブドットコム証券は、ネット専業の証券会社として、独自の戦略で業界内でも異色の存在だ。また、徹底したIT経営を実践する企業としても注目を集めることが多い。今回の講演会では、2009年3月期から導入される「J-SOX(日本版SOX法)」により、すべての上場企業および連結子会社に報告書の提出が求められる「内部統制」のあり方について、IT経営の視点から同社の取り組み事例の紹介やノウハウが紹介された。

2006年6月7日に成立した「金融商品取引法」により、新たな内部統制のルールとして実施が始まるJ-SOX法。企業は、公認会計士や監査法人が監査した、内部統制の整備状況や有効性を示した内部統制報告書を提出しなければならなくなる。これを踏まえ、現在、各企業はIT統制とシステムを含めた非財務情報の開示とBCP(事業継続計画)の整備が急務となっている。そんな中、カブドットコム証券では、以前から非財務情報の開示を積極的に行っている。その内容は、取り引き件数の推移をはじめ、知的財産に関する報告書など多岐にわたる。中でも特筆すべき報告書は、システム投資や運営状況を公開した「システムレポート」だ。「企業にとって、経営インパクトが大きいシステム投資の情報公開は投資家や顧客にとっても関心が高い」と齋藤氏は話す。

同社では、フロントからバックオフィスまですべてのコンピュータシステムを自社で開発/運用している。コンピュータシステムのアウトソーシングが基本のネット証券業界において、同社はシステムの内製化を実践している唯一の企業だ。その理由のひとつには、同社はシステムの内製化を経営戦略のひとつとして捉えているというからだという。「そもそも大手証券会社とネット証券ではニーズが違う。さらに、商品での差別化が難しいネット証券業界では、システムに徹底的にこだわることで他社との差別化を図りたい。当社における重要機能の内製化は、手数料などのマーケティング競争のみに頼らない"差別化"と"主体的管理"の源泉になっている」と齋藤氏。さらにシステムの内製化は、コストの抑制だけに留まらず、独自サービスの導入や品質/コスト管理、銀行をはじめとする他の金融機関との接続性の高さといった、フレキシブルな対応でさまざまな効果を発揮できるとしている。

また、こうしたシステムの内製化は、同社の内部統制態勢にも大きく貢献している。システムの内部統制について、齋藤氏は「トレーサビリティ(追跡)を確保し、アカウンタビリティ(説明責任)を果たすことに尽きる」と説明し、そのためのポイントは"ログの整理"にあると語る。「システムの内部統制のノウハウは、わかりづらい情報の数値化/指数化にある」(齋藤氏)。

内部統制のあり方について、昨今では"見える化(可視化)"の重要性が唱えられることが多い。しかし、カブドットコムではさらに進んだ"見せる化(開示化)"を内部統制の指針として掲げているという。齋藤氏はその理由について「全業務で開示化は可能。IT部門をはじめ、全部門が情報開示に関わることの企業風土がなによりも大事」と説明する。コールセンターも自社で運営する同社では、実際、Web上で毎月公開しているサポートセンターのレポートもコールセンターのスタッフが手掛けているという。またそのポイントについて「経営者はログの収集のための基盤さえ作れば、あとは部門ごとに"見せる"ためのデータを取っていくことができる。それが結果として内部統制につながる。それを実践することによって職場の空気も変わってくる」と、その真髄を語った。

一方、齋藤氏はITの資源は"人間と電気"にあると考えているという。さらに、そのための危機管理体制として「ファシリティを把握しておくべき」と主張する。同社では、バックアップ拠点を福岡にも設置している。その理由について、「企業リスクの大半は、システムのデータ障害。そのためのバックアップ体制は当然だが、東京、千葉の近郊では、災害時の危機管理体制としては不十分」と齋藤氏。また、「BCPで想定されるシナリオとして、年末ぐらいに新型インフルエンザの流行が考えられる」と述べ、社員の福利厚生の一環として、インフルエンザの予防接種を7年前から実施していることを明かした。