内部統制構築の主役は,あくまでも経営者である。内部統制を構築すべき義務は経営者が負うものであり,内部統制は経営者の管理道具でもある。内部統制の整備レベルは経営者の判断で決めるものである。ITエンジニアが参画することが多い内部統制プロジェクトの事務局はその方針に従って構築を進めるにすぎない。だから,経営者不在の内部統制構築はやってはいけない。

 ところが,実際には経営者不在の内部統制構築が行われている現場は少なくない。内部統制の構築は事務局主導で進めるもので,プロジェクト・メンバーをアサインするだけで経営者に当事者意識がないといったケースがよくある。もし経営者をうまく巻き込むことができなければ,その企業の内部統制の構築は,主人公不在のストーリーとなってしまう。経営者が自社の内部統制の整備・運用状況について「私は知らない」と発言した場合,自社の内部統制が機能していないことが露呈してしまう。プロジェクト・メンバーは,随時,内部統制の整備・運用状況について経営者に報告することが求められる。

 一方,企業内の大多数の社員にとって,内部統制の構築は他人事であり,一部の管理部門のメンバーで対応するものだと考えているケースも問題である。この場合,事務局がどれほど頑張って構築を進めたとしても,それは一人芝居である。社員一人ひとりが役どころを理解し,エキストラではないという自覚をもって協力しなければ,プロジェクトはうまくいかない。

 例えば,評価対象業務についてヒアリングを実施する際に「業務担当者がその趣旨や必要性を理解して多忙な業務の時間を割いて協力する」,内部統制の有効性を評価する際に「関連部署がテストに協力する」といった全社的なサポートはプロジェクトの成功に欠かせない要素である。つまり内部統制の構築は,全社で取り組むべき課題なのである。

 しかし,一般の社員にとって内部統制とは,情報システム部門や経理部門などプロジェクト事務局が対応する課題であり,キーワードとしては知っているが,自分とは縁遠いものであると考えている場合が多い。このような状況を打破するためには,事務局がアナウンスを行うだけでなく,経営者がトップダウンで全社に号令をかけるといったシーンも必要なのだ。

 また,現状の全社統制環境や業務の分析により明らかになった不備の是正についても,規程や制度の見直し,業務ルールや仕事のやり方の変更を伴う場合がでてくる。これらは,事務局だけで対応できる問題ではない。必要に応じて委員会の設置や,トップダウンの指示が必要となる。

 そもそも内部統制構築の目的を決めるのも経営者の仕事である。金融庁が公開した実施基準に記載されている内部統制の目的には,次の四つがある。

(1)業務の有効性及び効率性
(2)財務報告の信頼性
(3)事業活動に関わる法令等の遵守
(4)資産の保全

 限られた期間で,これらすべてに注力するのは現実的ではない。初年度の対応として,まずは(2)財務報告の信頼性の確保を最優先とする企業が多いだろう。次年度以降の対応を含め,四つの目的のうち,どの目的にどのレベルで注力するかの決定は非常に重要である。どのレベルまでリスクを認識するかによって取り組むべき課題や作業のボリュームが大きく変わってくるからだ。

 評価範囲の決定についても同様である。実施基準では,全社的な内部統制の評価結果が良好であれば,業務プロセスに係る内部統制の評価範囲として,売上高の3分の2以上を占めることを目安に,事業拠点や事業部門,子会社などを選べるとされている。しかし,設定した評価範囲に該当しない部分で問題が発生した場合,リスクへの対応に責任を負うのは経営者である。このことからも,内部統制の評価範囲や整備レベルは,経営者の責任で決定すべきであることが分かるだろう。


野田伊佐夫
株式会社豆蔵 IT戦略支援事業部 内部統制サービスセンター(C.I.S.C) 所長 主幹コンサルタント
 1994年,大手建設会社に入社。情報システム部に所属し,財務会計,事務管理,建設生産管理など基幹システムの開発を担当。オブジェクト指向による設計,開発手法のエンタープライズ・システムへの適用に取り組む。2006年株式会社豆蔵に入社。現在,内部統制サービスセンター所長として内部統制構築に関するコンサルティング・サービスを展開するとともに,コンサルタントとして数社の内部統制構築プロジェクトに参画している。