「業務プロセスごとの内部統制システム」

　前回より「内部統制の仕組みの定着」をテーマにおいて、新たな連載をスタートしましたが、今回は内部統制システムを効率的に構築するための手順を説明していきます。

　まずは、「リスクの洗い出し」が最初のステップになります。事業活動の目的達成の妨げになるリスクが何かを発見します。それから「リスクのポイントを特定」します。見つけ出したリスクが表面化しないよう、注意すべきポイントをあらかじめ発見します。それらのポイントが特定できれば、リスクの顕著化を防ぐための対策や措置をルール化していきます。そして、実際にルールに従って「内部統制システムを運用」していきます。JSOX法が適用される2008年4月まで、残された時間は限られていますので、時間と費用はなるべくかけずに、迅速かつ効率的に内部統制システムを構築したいところです。

　企業に重大な影響を与えかねないリスクが、一体どこに潜んでいるのかを見つけ出すことから、内部統制は始まります。

　日常業務では、大きなリスクとなりそうなものは、およそ対策が講じられているはずです。例えば、基幹システムやサーバがダウンするような場合に備えて、バックアップがとられていると思います。そういったもの以外に、危険性がはらんでいると思っていながらも、「担当者ではないから」「忙しいから」などの理由で、対策を講じずにリスクを放置してしまっていることがあると思います。こういった日常感じている危機感にこそ、リスクが潜んでいるのです。たとえリスクに気付いたとしても、業務プロセスの中のどの部分が内部統制上のポイントになるのかを見つけ出すことは、容易ではありません。見つけ出すのに有効な手段としては、過去に起きた事例をもとに対策を講じることがあります。実際に起こった失敗事例、不祥事は、企業にとって新たな指標となり、大きな教訓にすることができます。
失敗を生きたテキストに
　例えば、営業マンが、取引先と与信限度額を超えた取引を継続して行い、売掛金が焦げついてしまったという事例があったとします。これは単なる営業マンの失敗事例ということではなく、厳しく与えられたノルマを達成するために、与信限度額を超えた取引をしたのであれば、不正取引と言えます。

　では、この事例の原因はどんな点にあるのか考えてみて下さい。もし、販売管理システムの与信限度額を変更できる権限が営業マンにあったとしたらどうでしょうか。経営者側としては、「《与信限度額の変更》にシステム上アクセスできるのは、経理や財務担当など限られた管理者だけにする」という仕組みとルールを作るという具体策で、内部統制を構築・整備していくことができます。

　失敗や不正、不祥事を生きたテキストとし、起きてしまった事象はすぐに内部統制の改善・整備に活かすというスタンスを徹底していけば、社内環境もうまく機能していくはずです。社内の出来事だけでなく、世間で騒がれている企業の不祥事などにも目を向け、それを自社の場合に当てはめて内部統制の整備に有効的に活用していくことも、これからは不可欠な要素となっていくでしょう。

　不正や不祥事が起こらないよう、内部統制で最も配慮すべきは、「職務の分掌」と「人事ローテーション」です。職務の分掌ができていない職場環境や、一人が同じ仕事を長年担当していたことが原因で、不正の多くは生まれます。営業マンと請求書の作成・発送者を分けたり、現金管理者と経理担当者というように担当を分けることが、不正抑止につながります。また、定期的な人事ローテーションを実施することも、不正防止に大きな力を発揮します。自分の仕事が社内の他の人にも見られているという認識をもたせることが大事です。