‘財務報告’
内部統制の目的については、全て同時にその達成を目指せばいいのでしょうか?
Q.内部統制の目的については、全て同時にその達成を目指せばいいのでしょうか?
A.内部統制は範囲がとても広く、新会社法の内部統制も、金融商品取引法(日本版SOX法)の内部統制も、いずれも重要です。しかし、同時に全てを行うことは難しく、とりわけ中小、中堅企業にとっては不可能に近いといえます。それゆえ、第一に両方の違いを認識することが、実務上、とても大切です。
新会社法には、四つの基準、四つのカテゴリー、四つの目的があります。その四つとは、法令順守、業務の有効性と効率性、資産の保全、財務報告の信頼性です。一方、金融商品取引法については、財務報告の信頼性のみです。したがって、新興市場や中小、中堅の上場企業にとっては、財務報告の信頼性を確実なものにしてから順次ほかの三つを達成していくのが、実務的でコストも抑えられるので適していると思われます。
上場企業は「有価証券報告書」を提出する分に関して「内部統制報告書」を確実に提出しなければなりません。財務報告の信頼性を第一に押さえる必要があると考えるのです。
内部統制とは何かについて教えてください。
Q.内部統制とは何かについて教えてください。
A.内部統制とは、一般的に、経営目標が達成されているという合理的な保証を得るため、役職員全てにより業務が適切に遂行されるプロセスのことです。重要なのは、経営目標を達成するためということです。会社はさまざまな経営目標を掲げると思われますが、内部統制というのは、設定した経営目標が達成されているという合理的な保証を得るために、各々の役職員や従業員が業務を適切に遂行するプロセスであるといえます。
経営目標については、例えばROEを10%以上にする、売上高を30%増やす、利益を上げる、企業価値を上げる、純資産を増やすというようなことが挙げられます。このほか、コンプライアンスの遵守というのも、コンプライアンス違反により会社の存続が危うくなったというケースが近年では見受けられますので、重要な経営目標になり得ます。また、正しい財務諸表の作成も、財務諸表の虚偽表示という企業不祥事が起こったというケースがありますので、経営目標となります。そして、従業員の不正の未然防止、新聞等で会社の資産を従業員が使い込む事件が報じられていますので、会社の資産の保全という観点からも、不正への対応も経営目標となります。
以上の経営目標は、次に掲げる四つに大別することができます。
・業務の有効性と効率性
・コンプライアンス(法令遵守)
・財務報告の信頼性を確保すること
・会社の資産を保全すること
内部統制の構成要素について教えてください。
Q.内部統制の構成要素について教えてください。
A.アメリカのトレッドウェイ組織委員会の委員長であるトレッドウェイがまとめ、公表された内部統制のフレームワークに係るレポートが存在します。そのレポートで提示されたフレームワークがCOSOフレームワークであり、COSOフレームワークは内部統制の目的として、業務効率、財務報告の信頼性、法令遵守の三つを掲げています。そして、その目的達成のための構成要素として五つを挙げています。
構成要素については、2005年12月に企業会計審議会が公表した「財務報告に係る内部統制の評価及び監査の基準案」(以下「内部統制基準案」といいます)では、「内部統制の基本的要素とは、内部統制の目的を達成するために必要とされる内部統制の構成部分」とされていて、構成要素として六つが記されています。日本版SOX法に対応するには、内部統制の目的を達成するためにこれらの構成要素の構築をしっかりと行い、これらを有効に実践していくことが大切です。
内部統制基準案における内部統制モデルは、目的三つと構成要素五つである「COSOの内部統制のフレームワーク」を日本的にアレンジしたものです。その内部統制モデルでは、目的として、業務の有効性と効率性、財務報告の信頼性、事業活動に関わる法令等の遵守、資産の保全という四つが記され、構成要素として、統制環境、リスク評価と対応、情報と伝達、統制活動、モニタリング、IT(情報技術)への対応が記されています。なお、COSOフレームワークにおいては、「ITへの対応」というのは構成要素に含まれていません。
文書化するのは、内部統制の目的のうち財務報告の信頼性に係る部分です。日本版SOX法は、この部分のみを抜き出して、文書化して評価しようというものです。ただし、財務報告に関わる部分については、業務効率や法令遵守が関わる場合があり、また、資産の保全に係る部分も含まれることから、これらを含めて財務報告に関わる内部統制の全てを文書化しようということが、内部統制基準案の内容といえます。
上記の構成要素六つについて、具体的に述べます。
統制環境とは、組織の気風を決め、組織内のあらゆる者の統制に対する意識に影響を及ぼすもののことであり、経営者の意向や姿勢、経営方針、行動理念等が挙げられます。例えば、経営者が状況を認識することなく予算を押し付けたり、その押し付けられた予算を達成することにより従業員を評価したりするような組織になっているか否かというようなことが、統制環境といえます。統制環境は内部統制に極めて大きな影響を及ぼすことから、しっかり整備を行う必要があります。
次に、リスク評価と対応については、企業にはいろいろなリスクがありますので、そのようなリスクをある程度分類した上で、対応を検討することも極めて大切です。
情報と伝達については、経営者が従業員に対して行う上から下への情報伝達や、従業員が実情を報告する下から上への情報伝達、外部の利害関係者から企業への情報伝達があります。各種情報を企業が取捨選択して必要な情報が適切に伝わる体制が構築されていることが重要です。
また、統制活動は、経営者の命令や指示が適切に実行されることを確保するための体制です。ある職員に対して権限を付与し、その職員が他の職員の行った取引をきちんと承認している等、職員相互の牽制機能を働かせる活動が含まれています。統制活動の部分を文書化するというのが、基本的に日本版SOX法における内部統制評価の核心部分といえます。
そして、モニタリングについては、その内容は二つに大別できます。一つ目は日常的モニタリング(予算管理等)であり、パフォーマンスのレビューも行って予算と実績の比較、分析をし、業績の把握を行います。二つ目は独立的モニタリングであり、社内的には利害関係のない内部監査室等が監査をし、経営者にその監査結果の報告を行う仕組み等が挙げられます。
最後に、IT(情報技術)への対応については、現在の企業ではITを前提とする情報処理がほとんどであることから、ITに対してセキュリティー管理を適切に行っていることや、プログラム開発を行う際に手順が決定していること等が、その主な内容です。
内部統制とは、以上の六つの構成要素を築いていきましょうということをいいます。築いた内部統制のうち財務報告に関わる部分を抜き出して経営者が評価するのが、日本版SOX法ということになります。会社は、前述の内部統制モデルのうち財務報告に関わる部分のみを文書化して評価します。
日本版SOX法における内部統制制度の概要を教えてください。
Q.日本版SOX法における内部統制制度の概要を教えてください。
A.会社法において定められている内部統制システムに関しては、大会社であれば取締役会でその構築方針を決定する必要があります。「損失の危機の管理に関する規程その他の体制」(会社法施行規則第100条第1項第2号)は、リスク評価と対応に当てはまり、債権者保護という会社法の趣旨から極めて大切です。また、「取締役の職務の執行が効率的に行われることを確保するための体制」(会社法施行規則第100条第1項第3号)については、「取締役」と定められていますが基本的には業務効率の部分といえます。そして、「使用人の職務の執行が法令及び定款に適合することを確保するための体制」(会社法施行規則第100条第1項第4号)については、コンプライアンスに該当します。最後に、「当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適正を確保するための体制」(会社法施行規則第100条第1項第5号)は、財務報告や資産の保全等の広範囲の内部統制に該当します。
したがって、いわゆるCSOキュービック全体が会社法で定められているといえます。そこから財務報告の部分を抜き出したものが日本版SOX法です。
内部統制に関しては、有価証券報告書に係る適正性の確認書が、内閣府令や東証で要請されていました。さらに、金融商品取引法で、財務報告に係る内部統制の有効性を評価した結果を外部に報告する、日本版SOX法の制度が導入されました。日本版SOX法は、金融商品取引法の中で定められていて、同法における「開示制度の整備・強化等」の部分です。その目的は、財務計算に関する書類その他の情報の適正性を確保するための体制の評価制度の整備です。
日本版SOX法の具体的な内容については、構成としては次の三つとなっています。
・内部統制の基本的枠組み
そして、制度スキームとしては、次の五つとなっています。
・外部監査人による監査の実施
日本版SOX法では、経営者自身が内部統制の有効性を自己評価することになっていますが、何を評価し、文書化すればいいのでしょうか?
Q.日本版SOX法では、経営者自身が内部統制の有効性を自己評価することになっていますが、何を評価し、文書化すればいいのでしょうか?
A.内部統制の有効性の自己評価については、第一に評価範囲を決める必要があります。財務報告に係る内部統制の全部を文書化するのは、費用面からも困難です。したがって、重要な事業拠点を定める等して、全社的な内部統制の評価を行った上で、その結果により評価対象を限定します。ただ、決算・財務報告プロセスに関しては、全ての事業拠点で評価を行う必要があります。その後、選んだ事業拠点における重要な業務プロセスに係る内部統制を評価し、それ以外のリスクを抱えた重要な財務諸表項目に至るプロセスに関しても評価します。評価を終えたら、それが全体として有効か否かについて経営者が判断をします。そして、内部統制報告書の作成を行います。
基本的に文書化するのは、業務プロセスに係る内部統制と、全社レベルの内部統制です。
業務プロセスに係る内部統制というのは、例えば販売担当者が受注して商品を出荷し、出荷したものを売上げに計上するためにシステムに入力をした後で、結果が正しいか否かを確認する等の、それぞれの職場で一般的に行われている財務報告に影響を及ぼす業務活動であり、これが核心部分です。
一方、全社レベルの内部統制は、上記の業務プロセスレベルの内部統制に影響を及ぼすものであり、二つに大別できます。一つ目は組織風土等に係る全社的な内部統制であり、二つ目はITに係る全般統制です。ITに係る部分は全社的な内部統制と性質が異なりますので、これらの二つを区分しています。
全社的な内部統制については、統制環境がその主要な構成要素であり、具体的には経営理念、行動憲章、社内諸規程、運用マニュアル、全社レベルの予算管理等です。全社レベルで諸規程を作成して遵守する体制や、内部通報制度等も含まれます。不正に気付いた際に、上司ではなく外部の顧問弁護士等に報告できることも、全社的な内部統制といえます。
一方、ITに係る全般統制は、ITを利用した業務プロセスを有効に機能させるために必要となる統制活動(ソフトウェア開発・変更・運用管理、情報セキュリティー)です。例えば、新規にシステムを構築する際に、その企画段階からきちんと統制がとれた体制となっていることや、部署が替わっても前の部署の売上げをそのまま入力できてしまうと財務諸表が正しく作成されない可能性もありますので、パスワードによる管理をして限られた者のみが入力できるように管理すること等が、ITに係る全般統制です。
また、前述した業務プロセスに係る内部統制については、次のようなものがこれに該当します。
・職務分掌(請求書を発行する部署と入金部署を区分しているか)
・取引承認体制(100万円以上の取引は部長だけに実行する権限が付与されていて、部長の承認がなければその取引を実行できないシステムになっているか等)
・財務会計システムへの入力確認(100円入力したものがきちんと100円の売上げとして計上されていることを確認するコントロールがあるか等)
・該当部門の予算実績差異分析(ある事業部の当月の予算に対して実績が未達であった場合に、ある理由でその差異が分析されるので正しいのだという差異分析がなされているか等)
財務報告に係る内部統制は、業務プロセスに係る内部統制、全社的な内部統制、ITに係る全般統制の三つによって構成されていることから、基本的にはこれら全てを行う必要があります。日本版SOX法の具体的な実務は、このような統制を文書化していくことです。
内部統制を文書化する手順について教えてください。
Q.内部統制を文書化する手順について教えてください。
A.内部統制を文書化していくのが日本版SOX法の具体的な実務ということになりますが、その進め方については、第一に全社的な内部統制の評価を行い、評価対象とする事業拠点を選びます。そして、選んだ事業拠点等に関して業務処理統制の評価を行います。業務処理統制を評価するには、多くの工数を要しますので、費用が多額となります。全社レベルの内部統制は一度行えばその後は適正に運用されているかをチェックし、変更がなければそれで済みますが、業務処理統制に関しては、取引のタイプが異なってコントロールが違えば、その取引ごとに評価するのが基本となります。したがって、どのように取引を区分するか、いかなるコントロールがあるかということを把握し、それを文書化するかが、極めて大変な作業といえます。業務処理統制の評価を行った後に、そこに不備があった場合にはそれを是正します。そうしないと、財務報告が誤るリスクが十分に軽減されないということになるからです。そして是正後に内部統制報告書を作成し、その報告書の過程を会計監査人が監査します。会計監査人から、これは少し弱いのではないですかという話があった場合には、次期以降に改善活動を行います。
内部統制の文書化の手順については、上記に述べた全社的な内部統制の評価から改善活動の実施までの過程を繰り返していくということになります。なお、全社レベル統制の文書化にはIT全般統制の文書化が含まれ、業務処理レベル統制の文書化にはITアプリケーション統制の文書化も含まれます。
ただし、最後に監査人から、これは少し問題があるのではないか、内部統制上不備といえるのではないかという話があっても、その場ですぐに対応するのは困難です。したがって、例えば全社レベル統制はこのように行い、業務処理統制はこのような方法でこのように文書化しますが、それでいいでしょうかというような確認をとりつつ文書化を進めていくということが、極めて大切です。
業務処理統制の文書化に当たって、何を評価すればいいのでしょうか?
Q.業務処理統制の文書化に当たって、何を評価すればいいのでしょうか?
A.全社レベル統制と業務処理統制を文書化していくのが日本版SOX法の具体的な実務といえますが、そのうちの業務処理統制の文書化に当たって何を評価すればいいのかについて以下に述べます。
評価には2種類のものがあります。一つ目は整備状況の評価です。整備状況というのは、いわゆるデザインであり、例えばAさんがBさんの行ったことをチェックしている場合、チェックを行うことで本当に誤りが是正されるか否かということと、チェックを行う体制がつくられているか否かということです。二つ目は運用状況の評価です。デザインについては、優れた内部統制の仕組みができたとしても、現実にそれを行っているか否かということが、運用状況の評価といえます。
整備状況の評価によって財務報告が誤るリスクが十分に軽減されているか否かを確認した後、現実に運用できているか否かを再び確認します。運用状況の評価については、具体的にはいわゆるテスティングを行うことになります。例えば、Aさんが自身の入力した結果についてプルーフを必ず出してチェックしているというコントロールがある場合、月のプルーフから10件を選んで本当にチェックが行われたか否かを確認します。
性善説に経てばここまでで済みます。我が社の社員は皆まじめで、やったといえば必ずやっていますので、心配ありませんということになります。しかし、日本版SOX法の制度では、それでは済みません。やっているのなら、その証拠を見せてもらわなければ信用できないという考え方に基づき、その後のテスティングをして評価することによって初めて内部統制を評価したということになります。極めて疑い深いということができ、アメリカ的な考え方がそのまま導入されています。
業務処理統制を文書化する目的は、財務報告に係る内部統制を文書化して評価することです。したがって、財務諸表が誤るリスクは何かということを第一に特定します。例えば、売上金額(数量×単価)が正確に計上されない可能性があるということを一つのリスクとして考えます。企業においては人が作業を行って実務が成立していることから、リスクが存在しないことはほぼないと思われます。それゆえ、誤るリスクはどこに存在するのかということになり、そのリスクを特定するのが第一段階です。正確に計上されない可能性があるというのがリスクであると考えるのです。
続いて、コントロールとしてそのリスクに対して何をしているかについては、仮に、売上情報の入力担当者は入力後にプルーフを出力し、入力に用いた証慿と入力結果を1件ずつ突合しているとします。この場合、正確に計上されない可能性があるというリスクは、このようなコントロールをすることで軽減されているといえるでしょう。
例えば、1個100円のもの10個で売上金額1,000円ですが、この金額が正しく計上されずに入力担当者が1個110円と間違えて入力するかもしれないというリスクがあります。だれが入力しても間違いが起こる可能性があるでしょう。しかし、入力担当者が入力後にプルーフを出力し、入力に用いた証慿と入力結果を1件ずつ突合しているのであれば、このリスクは軽減されると考えます。コントロール(そのリスクを軽減するために行うチェックの仕組み)でリスクは十分に軽減されているか否かを把握するのがデザインの評価、整備状況の評価です。
整備状況の評価については、コントロールが十分リスクを軽減しているかということのほかに、コントロールを明確にするという目的から、コントロールをする頻度や実施者等が明確になっているかということ、すなわち、いかなる頻度でだれがいかなる証跡を残して行うかということ等が定まったコントロールになっているか否かが重要です。このリスクとコントロールの関係をドキュメンテーションしましょうというのが、整備状況の評価といえます。
監査法人ともさまざまな話をし、いかなるコントロールをしていれば問題がないかについて相談をしつつ、コントロールが十分であることを確認できたら、続いて運用のテストをします。内部統制のデザインはいいとしても、現実にそのコントロール手続きをしているのかを確認するのが、運用のテストです。このテストは、一定のサンプルサイズを決定した上で行います。例えば、売上金額の計上を誤るリスクを軽減するコントロールのテストとして、2014年3月に計上した売上金額につきプルーフをランダムに25件抽出し、出荷日、売り先、売上数量、単価等に関して、入力担当者が入力に用いた証憑と照合しているか否かを確認します。
そして、エラーがない場合には評価終了となります。一方、エラーがある場合には改善活動の立案と実施という流れになります。コントロールを行う担当者に正しく実施させるために、決められた通りに必ずやってくれるように担当者に伝えたり、担当者が能力の限界でできないということであればほかのコントロールを考えるか人を追加で配置してそのコントロールを実施してもらうようにしたりします。このようなことが繰り返され、最終的にほかのコントロールを実施すると決まった場合には、そのコントロールのテスティングを開始し、エラーがなければ評価終了となります。
以上で、基本的に、業務処理統制の部分の整備状況の評価と運用状況の評価が終了することになります。
業務処理統制の文書化については、具体的にどのような書類を作成するのですか?
Q.業務処理統制の文書化については、具体的にどのような書類を作成するのですか?
A.日本版SOX法への対応のうち、業務処理統制の文書化については、3種類の表を作成するのが一般的です。アメリカにおいても現実に実施されていることですが、業務フローチャートを作成した後に、業務処理記述書、リスクコントロールマトリックスを作成します。
1.業務フローチャート
例えば、売上げの計上サイクルについて、次のような流れがあるとします。受発注や出荷の後、得意先から確かに商品を受領しましたという受領書が営業部門に届きます。営業部門担当者は、出荷内容を確認し、出荷実績を入力し、入力結果は財務会計システムへ流れます。その後、販売実績表が出ますので、その内容を確認します。確認後、責任者に回付します。それを責任者が承認します。
このフローチャートのみであれば何をしているのかがはっきりしません。出荷内容を確認するということについても、何を確認するのかがこの簡単なフローチャートのみでは不明瞭ですので、二番目に下記2の業務処理記述書を作成します。
なお、リスクを特定することが業務フローチャートを作成する大きな目的の一つですので、行っている業務の内容について取引の開始から帳簿に計上するまでをフローの形にし、そのうちのどこに財務報告が誤るリスクがあるのかを特定する必要があります。例えば、その特定したところが出荷実績を入力するところであれば、そこに印を付けることによってそのリスクを認識します。
2.業務処理記述書
上記1の「出荷内容を確認」するということについて、具体的に述べます。「営業部門の担当者は得意先から受領書が送られてくると、販売単価、出荷数量、納入日等につき、出荷指示書に記されている内容と照合している」ということを記載していきます。すなわち、だれが、いつ、どこで、何をしているのかということを業務処理記述書に記載していくのです。
また、上記1の出荷実績を入力するということについて、「営業部門の担当者は得意先から送られてきた受領書の内容を基に財務会計システムに単価、売上数量、売り先、出荷日といった情報を入力している」と業務処理記述書に記載されているとします。すると、ここで誤りがあれば財務報告が誤ってしまいます。例えば、1個100円を誤って1,000円と入力してしまった場合や、10個を100個と入力してしまった場合には、売上金額は10倍になってしまいます。したがって、上記1で述べたように、財務報告が誤るリスクはこの入力するところにあると考えるのです。
そこにリスクがあると特定し、それに対するコントロールとして、「営業部門の担当者は月次の締めを行う際に、財務会計システムから出荷実績表を出力し、受領書の内容と全て一致していることを確認している」とし、そのように業務処理記述書に記載されているとします。その場合、このコントロールが上記1のその内容を確認するということの詳細に該当します。
業務処理記述書の表のうち、このようなコントロールを記した欄の右にRCMという項目の欄があり、上記のコントロールを記した欄の右横には(A)と記載されているとします。このRCMというのは、下記3のリスクコントロールマトリックスのことです。
リスクコントロールマトリックス(以下「RCM」といいます)というのは、各業務プロセスにおける統制上の要点、リスク、統制活動の整備状況を記載した表のことです。
売上金額が正確に計上されない可能性があるということがリスクであり、そのリスクに対してAというコントロールを行っているとします。これが、上記2の業務処理記述書のRCMという項目の欄に記された番号(A)に該当します。このリスクに対しては、受領書の内容と一致していることを確認するというコントロールを行っているというになります。したがって、全体としてこのリスクが軽減されているか否かにつき、RCMで整備状況の評価を行います。
いくつかのリスクが存在し、リスクに対するコントロールもいくつもあります。複数のリスクを軽減しているコントロールも存在します。ここではリスク一つだけを特定しましたが、そのほかにいくつもリスクはあり得ます。リスクに対してどのようなコントロールが行われているのか、そのコントロールによってリスクが軽減されているか否かを評価するのが、整備状況の評価に該当し、RCMを作成して行います。日本版SOX法におけるRCMの位置付けは、極めて高いといえます。RCMにおいて、リスクに対するコントロールの関係がまとめられることになります。
RCMに記載する大項目の具体例として、リスク、番号、コントロール、アサーション、コントロールのタイプ、評価結果、コメントが挙げられます。そして、これらのうちで、アサーションには実在性、完全性、評価、期間帰属、権利と義務、表示と開示という小項目が、コントロールのタイプには手作業、自動化、防止的統制、発見的統制、実施頻度、実施者、確認書類という小項目が挙げられます。
アサーションについては、仮に、貸借対照表に預金が1,000円計上されているとします。貸借対照表の預金勘定に計上されているのは普通預金1,000円に間違いないと、経営者が主張(アサート)するには、次のアサーションを満たす必要があります。
実在又は発生:普通預金勘定に計上されている預金1,000円は、期末日現在、実際に銀行に預けられている。
完全性:普通預金残高1,000円は、漏れなく貸借対照表に記録されている。
権利と義務:期末日現在において、会社は普通預金1,000円の所有権を有している。
評価:普通預金残高1,000円は、一般に公正妥当と認められる会計基準に従って適正な金額で記録されていて、外国為替相場の変動を含め評価に影響を与えるあらゆる事象が考慮されている。
表示と開示:普通預金残高1,000円は、貸借対照表上適正に分類され、表示と開示がなされている。
上記のような要件を全て満たすことで、初めて貸借対照表に記載されている1,000円は正しいといえるのではないかということです。アサーションが全て満たされるような、きちんとリスクが軽減されるようなコントロールが、RCMに記されているかが、整備状況の評価となります。
内部統制は企業価値の向上に結び付いているのですか?
Q.内部統制は企業価値の向上に結び付いているのですか?
A.企業は外部環境の変化を認識しつつ、自社の内部環境の測定を行い、経営目標を提示します。経営目標については、売上げや利益がいくらというように、具体的に数値化されるのが通常です。その経営目標を達成するため、経営者は企業の組織構造を変えていきます。そして、変えた組織構造の中で、その業務をより効率的に有効に回していくため、内部統制の設計が組織的になされていると考えます。
組織構造も内部統制に含まれると広くとらえることもできます。それゆえ、内部統制は経営目標を達成するための経営管理活動そのものですので、それは「企業価値の向上」に深く結び付いているといえます。
内部統制の目的は、業務の効率性、コンプライアンス、財務報告の信頼性、資産の保全の四つです。これらのうちでコンプライアンスと財務報告の信頼性については、近年ではこれらを阻害する事件(損害保険会社の保険金の不払いや違法な営業等)が増えています。企業がこのような問題を1回でも起こした場合には、重い社会的制裁が下されています。コンプライアンスと財務報告の信頼性は、それができていなければ企業価値に負の影響が大きく、重要性が高まっているものと思われます。
企業価値を向上させるには、内部統制は大切であるといえます。
日本版SOX法への対応として内部統制を見直すに当たり、業務改善も図るのであれば、巨額の費用がかかってしまうでしょうか?
Q.日本版SOX法への対応として内部統制を見直すに当たり、業務改善も図るのであれば、巨額の費用がかかってしまうでしょうか?
A.内部統制の見直しについては、ITシステムの更新時に旧システムで行っていることをそのまま新システムでも行おうとしても、システム変更が期待したほどの業務改善につながりません。また、戦略的業務改善活動(以下「BPR」といいます。組織間の垣根をなくして全社的に最適な業務処理を構築していこうという活動のことです)は、業務効率アップ等につながる魅力的な活動であるものの、効果が測定しにくいことや費用が不明であること等から導入に踏み切れなかったりした会社が多かったことと思われます。
しかし、金融商品取引法と新会社法において、内部統制の全般的な見直しをしなければならなくなりました。法が規定することであるため、必ず行わなければならないことから、この機会に業務活動の改善もしたい、内部統制の四つの目的のうち業務の有効性、効率性も高めたいと考える場合も少なくないのではないでしょうか。ただし、この場合は費用の壁が立ちふさがる可能性があります。やるべきことはBPRと類似していますので、費用はもちろんかかってきます。財務報告の信頼性のみを文書化する場合には例えば3,000万円かかるとすると、2~3倍かかってしまうかもしれません。
そこで、対応策の一つを述べます。あくまでも、「財務報告の信頼性」の確保を目標とします。ただ、文書化作業の過程で他の目的に関係するリスクを発見できることがありますが、会社がそのようなリスクにつきコントロールがなされていないと不備を認識したなら、その情報を通常の財務報告プロジェクトとは違ったルートで吸い上げ、リスク管理部門に報告を行います。リスク管理部門においては、その報告されたリスクに対して優先順位を付け、アクションプランの検討を行います。このような二本立ての対応なら、十分に実現できるのではないかと考えます。
例えば、請求書の発行を漏らすというのは、財務報告に関係するリスクとはいえません。厳密にいえば資産保全に関係しますので、文書化の対象にはなると思われます。しかし、仮に財務報告の信頼性に関係するリスクに限って述べると、請求書を発行してもしなくても、これは会計取引には該当しませんので仕訳を切らないことから、財務報告の数字に影響が及びません。ただし、請求書を発行しなければお金が入ってきませんので、資金繰りに困ります。これは、ビジネスとしては多大な損失となるでしょう。このようなリスクを、財務報告に関係するリスクではないことを理由に放置しておくか、リスクと考えてアクションプランを検討して企業として対応していくかでは、大きな差が生じるのではないでしょうか。
上記のような対応が実際に極めて有効であると思われますが、作業者の内部統制についての知識や経験が不可欠であるということが、問題となります。リスクをリスクとして作業者がとらえることができるか、スルーしてしまうかによって、この活動の有効性に大きな差異が生じてしまうでしょう。
« Older Entries