J-SOX法は真っ昼間に電源を落とすドロボウを想定しろと言う(1)

最近ふと、日本版SOX法の内部統制って、誰のための制度なのだろうと思う。
たとえばIT全般統制に、職務分掌上、基幹システムの本番環境のプログラムを更新する権限がない要員が、システム上もそうできないような統制活動が行われているか?という項目がある。
基幹システムの本番環境のプログラムを更新しようと思えば、ふつう少なくともその部分のプログラムをいったん停止する必要がある。
そのプログラムが重要なものであればあるほど、日常業務で使っている基幹システムの機能がいきなり停止すれば、社内が大騒ぎになるはずだ。
そこまでして本番環境のプログラムを更新する不正を犯すなんて、直接的な言い方をすれば単なるバカだ。
たとえて言えば、真っ昼間に会社にドロボウに入って、捕まらないようにとオフィスの電源を落としてからドロボウするのと同じくらいバカな行為である。
オフィスの電源が落ちれば、社内は大騒ぎになる。
日本版SOX法の内部統制は、こんな大バカ者が社内にいる可能性まで、経営者は「リスク」として認識しなさいという、よくよく考えるとおかしくて笑っちゃう制度なのだ。
内部統制うんぬん以前に、そんなバカげたことをしでかせば、ふつうは会社の就業規則にもとづいてクビになる。
内部統制の評価項目のうち、基幹システムをいきなり止めるといったような、悪意による破壊的行為を「リスク」として認識するよう求めている項目は、すべて「当該行為は就業規則で懲戒の対象と定めている」と、統制活動に記入すれば十分なはずだ。
むしろ統制活動としては、上述の例でいえば、IT業者に金を払ってセキュリティを高める投資をするより、就業規則で「クビにするぞ!」と脅しておく方が、経営者から見たときのリスク低減効果は確実に高い。
というのは、ご承知のように、日本はいったん正社員を懲戒処分でクビになると、かたぎの商売への再就職がほぼ不可能な社会だからだ。懲戒処分を統制活動と見なす方が、リスク低減効果は高いに決まっている。
なのに、内部統制という制度は、わざわざ懲戒より効果の低い統制活動を行うよう、企業の経営者を指導している。
内部統制の運用基準を考えたお役人は、結局、監査法人とIT業者の利益しか考えていないのだろう。