「内部統制の限界」

内部統制が機能しないケースを想定
　内部統制を導入し、整備を十二分に行ったとしても、企業の不祥事や粉飾決済が生じる可能性がまったくなくなるという訳ではありません。いくら優れた内部統制のシステムを導入し、運用したとしても、内部統制が有効に機能しない想定外のケースが生まれます。つまり、システムとしての内部統制には、限界があるということになります。では、何が内部統制において限界と想定されるのか考えてみます。

(1)担当者の不注意・判断間違いや担当者の共謀
(2)社内外の環境変化、イレギュラーな取引
(3)効果よりも費用がかさむ
(4)経営者が内部統制に従わず、無効にすること

　まず、1つ目として挙げた担当者の不注意・判断間違いや担当者による共謀は、担当者が不注意で事務処理や入力を間違えたり、判断を間違ってしまうケース。また、同僚同士や上司と部下の関係で共謀して計画的に不正をするケースが考えられます。営業担当者が接待費を会社に請求する場合、領収書に上司の承認印が必要であるにも関わらず承認印がない伝票を提出し、経理担当者の不注意から処理されたとすればまったく意味がありません。上司と部下が共謀すると、会社からプライベートな飲食代を処理して引き出すこともできますし、従業員が取引先と共謀すれば、外注委託費や実態のない開発費を会社に不正に支払わせることもできてしまいます。このような不正は非常に表面化しにくいケースです。

　次に、社内外の環境変化、イレギュラーな取引の場合は、想定外の社内環境の変化によって、突発的な取引が行われた場合は、内部統制が有効に機能しないことが予測されます。

　例えば、ヨーロッパの取引が中心だった企業が、アジアに進出するようになった場合、現地の工場建設や雇用などのミッションが行われると、かつて経験したことのないリスクが生じ、今までの内部統制システムでは有効に機能しなくなってしまう、というようなことがありうるでしょう。

　そして、効果よりも費用がかさむ場合。これはつまり、どのような内部統制のシステムを導入するかは、経営者による経営判断の範疇になるということです。導入コストと効果のバランスを考えた費用対効果を十分検討する必要があります。高額なセキュリティーシステムを購入したからといって、一概に不正アクセスや情報流出の防止が万全になるとは決して言えません。情報にアクセスできる権限をもつ担当者が不正を行えば、情報漏えいは防ぎようがありません。アクセス制限を行ったり、研修を通じて情報管理の啓蒙をする方が、企業によっては効果が得られるケースもあるかもしれません。

　最後の、経営者が内部統制に従わず、無効にするケースというのは、内部統制の構築は、経営者のリーダーシップと責任のもとに行われますが、経営者自身が内部統制にそむいた姿勢や行動をとれば、当然内部統制が機能しなくなるのは言うまでもないということです。利益追求型の企業が、法令違反を犯しながら、株価をつりあげるために経理担当と共謀して粉飾決済するようなことにでもなれば、内部統制の意味はまったくなくなると言ってよいでしょう。
人的行為によって改善を行うのが不可欠
　このように内部統制には、4つの限界が想定されます。これは、内部統制のグレーゾーンであり、本質をついた部分とも言えるでしょう。つまり、内部統制はシステムの導入・運用だけでは決してなく、まさに人間そのものの管理であり、人間そのものの運用です。人的行為によるリスクを洗い出し、改善していく必要が不可欠になります。