現在,内部統制を構築する中で,大いに目立っているのは,監査法人とCFO(最高財務責任者)でしょう。外部監査の限界を補う手段として,米国SOX法の成立があったともとれます。
日本の場合,ダイレクトレポーティングを採用しないなど中身に工夫がありますが,COSOフレームに基礎を置いているところからほぼ同様と見てよいでしょう。
内部統制の不備は,基本的要素の不備が直結
ここで,内部統制の大事な部分を復習しておきましょう。
「内部統制の基本的要素とは,内部統制の目的を達成するために必要とされる内部統制の構成部分をいい,内部統制の有効性の判断規準となる。」(財務報告に係る内部統制の評価および監査に関する実施基準I-P5)
確認するまでもありませんが,内部統制の基本的な要素は,「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「ITへの対応」の6つです。
当たり前のことですが,「財務報告の信頼性を確保する」という内部統制の目的を達成するためには,これら6つの構成要素に不備がないことが望ましい,ということになります。
CIOの役割は,意外に大きい
「財務報告の信頼性を確保する」という内部統制の目的からみれば経営者は当然のこと,最高財務責任者もスポットライトを浴びています。
しかし,「財務報告の信頼性を確保する」ためには,先に述べた6つの基本的要素を整備し運用することが大前提となります。「整備して運用する」というのですから,「人とITによる仕組み」として,機能させることが重要です。
この分野は,財務および財務関連業務のプロセスのオーナーを定めれば良い,というわけにはいかないのです。
ある程度の時間をかけてでも,経営者は「人とITによる仕組み」として内部統制を構築しなければいけないのです。このとき,頼もしいのがCIOです。
CIOの力無しでは,内部統制の構築は不可能だといっても過言ではないでしょう。
内部統制を監視するモニタリング
一例として基本的要素の「モニタリング」をあげます。
下の図をみてください。
ところで,「モニタリング」には,単に監視するだけではなく,評価し,是正するところまでが含まれます。
「財務報告の信頼性を確保する」ためには,あらかじめ定めた手順やルールによる統制活動が組み込まれた財務および財務関連業務プロセスの実行が前提です。
この統制活動の状況を監視するというのが,モニタリングの最初の意味だといえるでしょう。
当然ですが,統制活動の状況をモニタリングすれば,何か問題を認識(識別)することもあるでしょう。それが,許容しがたいリスクを含んでいると評価したとき,是正(対応)が必要になります。またそのことは,確実に記録される必要があります。
このような一連の「モニタリングプロセス」を整備し運用するには「人とITによる仕組み」として構築することが不可欠と成ります。このような仕組みを構築するには,CIOの力によるところが大きいということになります。
さらに,このプロセスは,独立的評価と日常的モニタリングという利用形態があります。
いざ,始めてみると,統制活動に関するパフォーマンス情報の生成と収集をどうするのか,リスク評価と対応との連携をどうするかなどの課題にぶちあたるかもしれません。
それでもCIOは,ITマネジメントチームを率いて,この課題を解決して行きます。(困難を乗り越えて)
内部統制を構築したとき,CIOは,きっとスターになっているでしょう!
本日のテーマ「モニタリング」についても,日経ビジネススクールCIO養成講座では詳しく解説しています。
CIO川柳コーナー
前回の川柳である「ベンダーと 社内の力 結集す」を説明します。
典型的な例は,ITプロジェクトです。実際には,業務改革プロジェクトといった方が良い場合が少なくないのですが,社内の認識もITプロジェクトとの認識がまだまだ強いのが現状です。
このようなプロジェクトを進めていくと,IT部門以外のメンバー,現場のエキスパートなども多く参加しています。
しかも,コンサルタント会社やITベンダーも複数が,このITプロジェクトのチームメンバーである場合が少なくありません。
このプロジェクトの成否を決するのは,これらのプロジェクトチームメンバーの合意形成に大きな鍵があります。
プロジェクト目的から遠いところでの合意形成は,容易です。これは,皆が楽だからです。
しかし,プロジェクト目的に近づく方向での合意形成は,難儀することも多く,CIOの力を必要とします。
あらためてCIOの凄さを認識いたします。
次の句は次回に説明します。皆様も,考えてください。
