内部統制を実行するために最初に行うこと総務部門のためのIT解説 「内部統制」編(2)(1/2 ページ)

内部統制の出発点は、「不正をしない気風づくり」にある。以上が、第1回の要約である。第2回では、内部統制を実行するために最初に行うこと、すなわち「リスクの評価と対応」について述べていく

» 2007年08月07日 12時00分 公開
[小林秀雄,@IT]

(上場を目指しているベンチャー企業の社長と若手総務担当社員の会話)

「どうだい? 内部統制に対する社員の意識は高まってきたかい?」

「ハイ、社長が自らトップダウンでコンプライアンスの重要性を説いて回っているせいか、ずいぶんと変わってきています。やっぱり、会社の気風を決定するのは経営者なんですね」

「でも、気風だけじゃ内部統制は実現できないぞ。不正が起きない仕事の仕組みを作らないといけないんだよなぁ。とはいえ、何をしたらいいものか……」

「どこから手を付けたらいいか、経営コンサルタントの義兄に相談しましょう!」

「不正をしない気風づくり」が出発点 (第1回の要約)

 第1回「『わが社も内部統制に対応するぞ』と言われたら」は、金融商品取引法および会社法が求める内部統制の中身を概観した。その内容を少し振り返っておこう。

 企業活動に関する法律とは、いってみれば「企業はコンプライアンス(法令順守)をきちんとしなさい」ということを表現しているといえる。企業は社会的存在である以上、それは当然のことだろう。金融商品取引法の根底にあるのは、株式市場に対して、投資の指針となる財務報告書にウソを書いてはいけないということである。上場企業とその予備軍にとって、内部統制の構築は法律によって「義務付けられ」ているものであり、余分な労力とコストが負担となる。その一方で、多くの経営者は内部統制への対応が業務の効率化をも達成する経営ツールと認識している。

 そして、内部統制の出発点は、「不正をしない気風づくり」にある。以上が、第1回の要約である。第2回では、内部統制を実行するために最初に行うこと、すなわち「リスクの評価と対応」について述べていく。

内部統制構築の作業はリスクの評価から始まる

 内部統制の対応というと、「コストが掛かる」「文書化の作業が大変」といった企業の悲鳴にも似た声があちこちのメディアで取り上げられる。確かに、2007年2月に発表された「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」(以下、実施基準)では、「業務の流れ図」「業務記述書」「リスクコントロールマトリックス」という文書(いわゆる3点セット)を作成することが推奨されている。その書き方も例示されている。だが、文書づくりに追われる前に、押さえておきたいことがある。

 それは、自社の業務プロセスにどんなリスクが潜んでいるかを発見し、それが財務報告に大きな影響をもたらすものかどうかを評価し、さらに重要なリスクだと考えたなら対応策を実行することだ。内部統制の目的とは、換言すると経営上のリスクを最小限にすることであり、文書化はリスクを可視化する方法である。

 実際、実施基準は、内部統制の構成要素の第1に「組織の気風」を含む「統制環境」について取り上げているが、その次に挙げられているのが「リスクの評価と対応」という項目である。組織の気風は、不正をしないという方向に会社の空気を持っていくことである。だが、空気だけでは「不正をしないこと」は担保されない。具体的に「不正ができない仕組み」を構築することが欠かせない。その仕組みは、最終的に新しい業務プロセスを構築することによって実現される。

 その新しい業務プロセスを構築する前段階として行うのがリスクの評価である。実施基準では、具体的なリスクとして次のような項目を示している。

外部的要因

天災、盗難、市場競争の激化、為替や資源相場の変動など組織を取り巻くもの


内部要的因

情報システムの故障・不具合、会計処理の誤謬・不正行為の発生、個人情報保護および高度な経営判断にかかわる情報の流失・漏えいなど組織の中で生じるもの


 また、実施基準では、リスク評価の流れを次のように示している。

リスクの評価 → リスクの分類 → リスクの分析 → リスクの評価 → リスクの対応

 初めに行うリスク評価のポイントは、まず、リスクの範囲や対象を設定することだ。企業活動にはさまざまなリスクが存在する。すべてに対応できれば、それに越したことはない。しかし、時間が限られる中でリスクに対応するには発見すべきリスクの範囲を絞ることが有効だろう。絞り込む範囲とは、財務報告に影響するリスクだ。シンプルにいうと、不正な売り上げ(数字)が計上されないようにすることが第一だ。中でも、重要なのは売り上げを計上する業務と会計業務に不正が生じる可能性(リスク)があるかないかを検討することだ。

 その検討作業でいくつかリスクが発見できたら、財務報告(実は企業経営)にもたらす各リスクの影響度を比較して点数を付ける。そして、影響度=点数の高いものから業務プロセスを改善することになる。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ