セキュリティ機能は資産?経費?の論争があったので、その時の論点をメモっておきます。
第1問。まずは基本的なセキュリティ機能の会計処理について。
資産の減価償却管理は情報システム部門のヒトは皆さん経験していると思いますが、システム開発した成果物は、(固定資産として投資額を資産化して)適宜償却していくのがルールかと思います。ではシステム構築のうち、セキュリティに関する開発費用はどのように処理すべき対象でしょうか?
回答は、資産として償却する場合と、経費として処理する場合の2つが考えられます。
まずは資産処理すべきと考えてみましょう。セキュリティ部分にしたって、情報システムを作る時の開発の一部であることは間違いないし、だから通常の機能と同様に資産化してすべきものと言う考え方です。例えば、100万円で構築した情報システムを一旦資産化して、翌年から5年間で定額で毎年20万円ずつ償却していくとか。
次に経費処理できると考えてみましょう。これはセキュリティ機能としての機能は本来の機能や情報資産を守るために、脆弱性の検査や必要な検査をするだけなので、保全検査のように、構築したものが事業資産を増加するための作り込みではないので、資産ではなくかかった費用は経費だ、という考え方。この場合は、100万円は経費なのだから、売上費用から売上経費として減算して納税をするという考え方。
資産とするか経費とするか、情報システムの機能の棲み分けは、結構、線引が難しいように思います。
要件定義書にセキュリティ機能としてxxをxx用意しなさいと明示して、それに応じた詳細に内訳をもらうとかであれば、その部分を除外するという考え方も可能な気はしますは、多くは納税逃れと誤認されるのを恐れて安全策で資産処理(いわゆる通常の機能と一緒に扱う)ことに流れることも多いのではないかと思います。セキュリティ機能として、xxxガイドラインに基づき、セキュリティに留意して開発すること、といった感じに仕様書上分界点が曖昧であれば、セキュリティの部分だけを経費として分計するのは難しいように思います。
次に第2問。脆弱性検査で脆弱性が見つかって追加対処した場合。
①100万円で作ったシステムに対して②10万円で脆弱性検査を実施し、その結果脆弱性が見つかり対処した場合工数として③追加で20万円を支払った場合。どこまで資産として扱わないといけないか。
第1問からの流れで①は資産、脆弱性検査自身が機能を作り込まない前提であれば、②は経費で良いと思います。では、③は資産になるのかどうか。
安全策で考えると①同様資産に流れそうですが、他方で会計監査や内部監査をしている方からすると、③の資産が償却費用として追加される。例えば、100万円の5年償却に追加で20万円の償却が追加されて20+4=24万円の償却額になった場合、「誰がどう意思決定して、この資産増を実施したのですか?」という問いに対する回答を求められそうです。
で、この考察の簡単な回答は用意していません。セキュリティ対策は大事ですし、システム企画の段階から、この事業のリスクを考える中で、どのようなセキュリティ対策が必要かが、洗い出せていることが望ましいです。とは言え、なかなかセキュリティ人材とか、リスクヘッジの考え方に長けているヒトもそれほど多くはないでしょうから、まあ、基本は経験者に聞きながら、考え方をきちんとまとめていくべきなんだろうなと思います。
こんど税務署のヒトや、監査のヒトと話するときに聞いてみます。
