NEC
コンサルティング事業部
グループマネージャー,シニアビジネスコンサルタント
After J-SOX研究会 運営委員
菊地 倫子
内部統制報告制度(J-SOX)の法制化を受けて,多くの企業が数年をかけて準備し,ようやく初めての報告を終えた。特に年度末の追い込みの時期には,監査法人との調整が大変だったのではないだろうか。
一方で,J-SOX対応の活動を通じて,やるべきことを多数洗い出したものの,初年度は最低限の対応にとどめ,多くを翌年以降に繰り越している企業も少なくないとみられる。しかし,J-SOX初年度を何とか切り抜けたからといって,洗い出した改善ポイントに手を付けず,そのまま先送りにしてよいわけではない。
筆者はUS-SOXからJ-SOX,BPR(ビジネス・プロセス・リエンジニアリング)を自社で経験したことに加えて,多くの顧客企業における内部統制の構築に携わってきた。かなり早い時期にスケジュールを立て,体制を構築したのにもかかわらず,様々な外部要因から余儀なくやり直しを迫られ,苦労する企業も多く見てきた。
そもそも内部統制は何のために実施するのか。法律で定められたから,という理由だけではないことは,皆わかっているはずだ。特別なことを追加で実施するのではなく,日常に組み込み,変化し続ける企業の業務に合わせて内部統制を構築するのが望ましい。業務の変化とともに成長していく仕組みづくりといえるだろう。
こうした内部統制のあるべき姿に向けて,J-SOX2年目以降にどう取り組んでいけばよいか。After J-SOX研究会のメンバーがリレー形式で担当する連載の第2回にあたる今回は,内部統制の仕組みづくりの骨格と言える方針,体制,スケジュールについて説明したい。
評価範囲を見直し,コントロール数を減らす
内部統制の方針とは,継続的に内部統制が効いた仕組みにしていくために経営者が示す評価方針のことである。すでにJ-SOX対象企業のほとんどで,ある程度の形が出来ているだろう。
経営者はリスクの高いプロセスや組織に着目し,監査法人と調整を重ねながら内部統制評価の対象を定義する。特に1年目は内部統制の有効性に注目し,リスクを軽減するコントロールをしっかり定義してきたはずである。
2年目には1年目の評価結果を踏まえて,内部統制の効率性に挑むことが肝要だと筆者は考えている。その方策は大きく2点ある(図1)。
まず,毎年の内部統制の評価範囲を見直すことである。1年目の評価結果が良好だったからといって,毎年同じ範囲を同じ方式で評価するのは効率が悪い。業務プロセスや会社/拠点を絞り込み,何年かかけて全体を見ていく仕組みを考えるなど,評価の効率化を図ることが大切である。当然,その際には外部監査人との調整が必要になる。
金融庁の実施基準(正式名は「財務報告に係る内部統制の評価及び監査に関する実施基準」)には,「運用状況の評価の実施に際して(中略)全社的な内部統制の評価結果が良好である場合や,業務プロセスの内部統制に関して,同一の方針に基づく標準的な手続が企業内部の複数の事業拠点で広範に導入されていると判断される場合には,サンプリングの範囲を縮小することができる」とある。内部統制の有効性と効率性を満たすためにも,経営者がより重要なリスクに着目して評価していくためにも,評価範囲を見直す必要がある。
2点目は,評価対象のコントロール数を減らすことである。そのためには,業務プロセスを標準化/共通化した上で,ITを駆使して自動化を図るのが有効だ。
J-SOXの対象となる業務プロセスの中には,1年目の時点で有効性や効率性が十分でないものが残っていると思う。その部分にITを適用して,有効性と効率性を高めるのが基本である。全体のコントロール数を削減すると,業務全体の見通しが良くなり,日常の仕組みの中に内部統制を組み込むことが容易になる。結果的に,内部統制のレベル向上につながる。
