外部コンサルタントに頼らず、現場の担当者が文書化を進める。専用ツールも使わない―。丸紅は2年にわたり、自力で内部統制の確立に取り組んだ。「リスクとは何か」を啓蒙するため、「添削して現場に戻し、考えさせる」ことを繰り返した。
2006年6月。丸紅は05年度(06年3月期)の有価証券報告書を提出する際に、1枚のA4判用紙を添付した。有価証券報告書に記載した事項に虚偽の記載がないことを、勝俣宣夫社長が自筆でサインした「代表者確認書」である。これは米SOX法(企業改革法)の「経営者による宣誓書」にならい、内閣府が03年4月1日以降の事業年度から任意制度として開始したものだ。
この代表者確認書こそ、丸紅が2年にわたり取り組んできた内部統制に関する活動の集大成である。「2年前は、何をすればよいかさえ分からなかったが、ようやく自信を持って確認書を出せるところまで来た」。リスクマネジメント部の小林守 内部統制システム推進チーム長は、こう話す。
手探りでCOSOにたどり着く
丸紅が、本社と国内外の連結子会社100社強を対象とする内部統制プロジェクト「MARICO Project」を始めたのは、04年4月。01年度に1164億円の赤字を出す見通しを明らかにした途端に、「市場での信用が失墜し、一時は株価が58円台に急落した」(広報部)。そこでコーポレート・ガバナンス(企業統治)強化の一環として全社横断の組織を作り、内部統制の仕組み作りに着手することにした。同社は米国の証券市場に上場していないが、米SOX法404条に準じて財務報告にかかわる内部統制を対象とした。
専任メンバーとしてリスクマネジメント部から2人、経理部と情報企画部から1人ずつの計4人、兼任として経営企画部や法務部、監査部から計4人が参加。ほかに本社の各業務部門にも推進メンバーを割り当てた。プロジェクトの目標は、「06年3月期の有価証券報告書を提出する際に、代表者確認書を添付する」とした。
| 統制対象と統制のポイント[画像のクリックで拡大表示] |
|
MARICO Projectの開始直後、メンバーはSOX法の存在は知っていたものの、何から取りかかればよいか分からなかった。そこで会計に詳しい外部コンサルタントや同業他社の担当者に相談したところ、内部統制の基本的な枠組みを示した事実上の国際標準である「COSOフレームワーク」の存在を知った。
これを調べてみると、内部統制を確立するためにやるべきこととして業務処理統制とIT全般統制がある、前者では、(1)業務の流れを図示したり詳細に説明した文書を作成する、(2)そこから財務報告にかかわるリスクを洗い出す、(3)リスクを防いだり、リスクを早期に発見する体制を整備する、の3点が必要になる、などが分かった。
基本は“自前”にこだわる
MARICO Projectのメンバーは、この内部統制への取り組みを自力で進めることに決めた。COSOフレームワークを紹介したコンサルタントは「我々に任せてくれてもいい」と提案してきたが、「外部に頼むと表面的な取り組みになりかねない。組織の内部に根付かせることが重要である点を考えると、自分たちでやるべきと判断した。もちろん費用の問題もあった」(小林氏)。
| 図1●MARICO(MARubeni Internal COntrol system) Projectのスケジュール[画像のクリックで拡大表示] |
|
外部に頼むにせよ自力で進めるにせよ、現場を巻き込む手だては不可欠。そこで04年4月から9月までを啓蒙期間と位置づけ、社内報で内部統制の大切さを訴えたり、対象となる部門や組織に研修を実施して、「内部統制とは何か」、「その目的」、「何をするのか」を説明した(図1)。
並行して、(1)から(3)における文書化を支援するテンプレート(ひな型)を作成した。まず、財務報告の項目に合わせて、丸紅グループの業務を「売り上げ」や「支払い」など21種類に分類。それぞれに対して、テンプレートを作成した。ここでは、業務の典型的な流れ(プロセス)やリスクが発生する可能性の高いポイントを明示。その部分を中心に、想定されるリスクや、それに対する低減・予防策(コントロール)を記入できるようにした。
メンバーは、これらのテンプレートをWordやExcelで作成した。内部統制システム推進チームの許斐このみ理恵氏は、「米SOX法対応をうたった文書化ツールを3種類ほど検討したが、操作がやや難しく、現場の担当者自らが記入するという使い方には適していないと判断した」と話す。21種類の業務について、本社用と子会社用、さらにそれぞれの日本語版と英語版のテンプレートを用意した。
業務処理統制向けのテンプレートだけでなく、IT全般統制を支援するテンプレートも用意した。内部統制に関連する業務がどのシステムで維持・管理されているかに加えて、システムの開発や保守、セキュリティ、運用の標準や方法を定めるものだ。
「リスクとは何か」が分かりにくい
啓蒙とテンプレートの作成をひと通り終え、04年10月から本社の各業務部門や子会社の担当者が、文書化の作業を始めた。実は、ここからが本当の意味での啓蒙活動の始まりだった。
業務部門では推進メンバーが中心になり、テンプレートを使って文書化を進めた。8人の中心メンバーは作業がスムーズに進むものと期待したが、「書いてもらったものに赤字を入れて、また戻す、の繰り返し。まさに“赤ペン先生”の状態だった」(許斐氏)。
その理由を、小林氏は「SOX法に対応するために、何を『リスク』ととらえるかを理解するのが難しかったからだ」と話す。丸紅にとってのリスクは例えば「製品を出荷したのに売り上げが計上されない」、「在庫が帳簿と一致しない」となる。ところが営業部門の担当者は、「顧客に指定された納期に商品を届けられない」といったことをリスクとして挙げていた。営業部門としては当然のリスクだが、これは財務報告にかかわるものではない。
中心メンバーは、業務部門が記入した文書に対して、いきなり正解を与えるのでなく、「これはリスクではない」「このリスクに対するコントロールとしてふさわしくない」などと指示するにとどめ、業務部門に戻した。「現場自らがリスクやコントロールのことをきちんと理解するよう、手間がかかっても意識改革を促す必要があった」と小林氏はいう。
メンバーは粘り強く、業務部門と何回も文書をやり取りした。結果的に、05年3月に合計2000プロセス分の文書化を完了できた。
2年目で内部監査の仕組みを整備
05年4月からは、内部監査の手順や体制を整備した。まず、現場が文書に書かれた内容に沿って業務を進めているかを判断するガイドラインを作成。続いて、8月には内部統制監査チームを発足。ガイドラインを基に内部監査を実施した。
ここでは、(1)必要十分のコントロールが文書で規定されているか、(2)現場で文書通りに運用されているか、(3)実態に合わせて文書をメンテナンスしているか、の3点を調べた。06年3月に、すべてのプロセスの文書に関する内部監査を終了。同4月からは、内部統制監査チームを監査部門の下に置いた。今後は、内部統制推進チームとは独立して年1回の頻度で、監査を実施していく。
(次回へ)
