■誤解5:本社・経理部で対応を進めるべきだ
→現場の参加がなければ内部統制は機能せず日本版SOX法が求めるのは、財務報告にかかわる内部統制の整備・評価である。このため、法対応プロジェクトは、経理部などが中心になることが多いだろう。
ただし、「企業の活動はどんなものでも、最後はお金に落ちる。内部統制整備の発信源は経理部でいいが、全社員が内部統制に絡むべきだ」(青山学院大学大学院の八田教授)。経理部など本社サイドが規則や業務プロセスを決めて現場に押し付ければ、反感を抱いた社員が余計に不正に走る可能性もある。カブドットコム証券(170ページ参照)のように、社員全員が内部統制に参加する体制が作れれば理想的だ。
内部統制整備プロジェクトにも、企画立案段階から多様なメンバーを入れておくとよい。ユニ・チャームのプロジェクトには、営業、開発、人事などあらゆる部門の約40人が参加。「“長”などの肩書きで選ぶのではなく、現場で実務に最も精通した販売管理のプロ、購買管理のプロなどを選んだ」(岩田執行役員)
現場に目的を理解してもらうことも重要だ。「内部統制という言葉はあまり良い言葉ではない」(同)。現場のやる気を喚起するために、法制度対応だけではなく、前述のような業務効率化の側面を強調した。
ユニ・チャームは「社是」で「正しい企業経営の推進」を掲げている。行動指針などを小冊子にまとめて全社員が携帯。朝礼で唱和するなどして、社是の精神は組織の隅々にまで浸透している。「いきなり内部統制が出てきたのではなく、社是実現のために、これまでやってきたことの延長線上にあると説明している」(岩田執行役員)
さらに現場の参加を促すには、経営トップ自らが積極性を示すことも必要になる。大企業では難しいだろうが、ヤマトリースのようにトップがじかに説明できれば効果的だ。
図7●川崎汽船の「社長メッセージ」 [画像のクリックで拡大表示] |
川崎汽船は、まだ制度の全体像が見えない昨年7月に内部統制プロジェクトを正式に立ち上げた。会社として重視することを明らかにするため、取締役会の決議を経た。前川弘幸社長から、日本語と英語で「(内部統制法制化の)動きを前向きにとらえましょう」「諸先輩の築き上げてきた統制の知恵を文書化し、さらに進化させて次世代に受け継いでいきましょう」といったメッセージを発信した(図7)。「社長の私が、内部統制の整備・運用について最終責任を持ちます」とも言明した。
■誤解6:非上場企業には関係のない話である
→取引先から協力を求められることも日本版SOX法の適用対象は、上場企業を中心とした一部の企業に限られる。ただし非上場企業でも、今後、取引先の上場企業から協力を求められるケースが増えるだろう。
例えばファイザーでは、顧客である医薬品卸が注文をキャンセルする時、以前は電話でキャンセルできたが、現在は、証拠が残るようにキャンセルのための伝票を改めてファクスで送付している。
協力を求めたところ、当初は面倒がる顧客もいたというが、今では定着している。SOX法対応という以前に、医薬品はその性格上、厳格な物流管理が必要になる。「業界内でも納得を得やすい。誤受注を防ぐことは、結果的にお客様を守るという側面もある」(山上担当部長)
一方で、業界全体の意識が低い場合もある。ベンチャー企業の比較.comは、東証マザーズに新規上場するに当たって、内部統制を整備した。同社は、インターネットの価格比較サイトを運営しており、ネット利用者を旅行業や証券業などのサイトに送客することで、顧客に当たる広告代理店などから広告料を得ている。
この広告料を売上高として計上する業務プロセスに内部統制を組み込む必要がある。同社は監査法人からの指導を受けて、「検収」のプロセスを追加した。広告代理店への請求や売上高計上の前に、毎月の送客件数を広告代理店に通知し、「検収書」を書面でもらう。
検収は、実際に物やサービスを売っていないのに、架空売り上げが計上されるといったリスクを統制するために不可欠だ。製造業などではごく当たり前に行われるが、広告業界は口約束が中心の「紙がない業界」(高橋英樹取締役)。大手の広告代理店でも「他社からはそんなことを頼まれたことがない」と協力を渋るところがあったという。
比較.comの経理担当者は、毎月初めに前月の送客件数の通知書を広告代理店など数百社に送る。しかし、検収書がすぐに戻ってこないことも多い。決算早期化のためには検収書を早めに入手する必要があり、広告代理店に電話などで送付を促す業務が月初の大きな負担になっている。
■誤解7:ITで内部統制を強化できる
→何でもツールで解決すればよいとは限らない巷では「日本版SOX法完全対応」をうたったIT(情報技術)ツールが多数発売され、「内部統制商戦」が加熱している。金融庁企業会計審議会内部統制部会の「基準案」において、「ITへの対応」の重要性を強調していることも影響している。
ただし、ITツールを導入すれば内部統制の問題が解決するわけではない。IT面の内部統制は、情報システムで行う各種の業務処理にかかわる「業務処理統制」と、ITの管理全般にかかわる「全般統制」に分かれる。
「業務処理統制」について、デンセイ・ラムダはワークフロー管理システムを採用した(168ページ参照)。内部統制上の課題が明確であれば、ITツールが解決に役立つケースも多い。ただし、同社は特別なツールを購入したわけではなく、もともと使っていたグループウエア「ロータス ノーツ」をベースに、必要な機能を自社開発した。
何でもITで解決しているわけではない。「ルールを変えたほうがいい場合もある。システムで全部対応してあげることはしない」(熊澤本部長)
例えば、営業担当者が作成した見積書がワークフロー管理システムで承認された後に、細部を訂正したいケースがある。訂正を認めて、これに伴う基幹情報システムのデータ書き換えなどを自動化するのは、工数がかかる。
そこで訂正は認めず、一から承認をやり直すルールにした。「営業担当者には、最初から自分の責任で正しい見積書を作成する意識を持ってもらわなければならない」(熊澤本部長)
ほかの先行企業でも、日本版SOX法対応を「ITツールありき」で考えている企業は少ない。
情報システム部門がほかの案件を多く抱えており、SOX法対応のためだけに人手を割けないという事情がある企業も多い。
「情報システム部門には、利用部門から入力画面の細かな制御など、『情報システムを改良してほしい』という要望が多数来ている。技術的には可能だが、時間的にすべてに対応できない」(ファイザーの齋藤寛氏)
一方で、「全般統制」については必ず情報システム部門での対応が必要になる。具体的には情報システム開発・運用体制、ログ(操作履歴)の管理など、留意すべき点は多い。
特に、「ID(識別符号)管理」が重要になる。内部統制は、社員が自分の責任の範囲内の業務を行うことが前提になるからだ。
デンセイ・ラムダでは、ワークフロー管理システムなどでの操作が本当に本人によるものであることを保証するために、営業担当者のパソコンに指紋認証を導入する予定だ。「ここは費用がかかるが、リスクを軽減するためにはやむを得ない」(熊澤本部長)
ファイザーでは、全社的にID管理を強化。異動などの情報が最初に入力される人事情報システムの内容が変更されると、24時間以内に各種業務システムのID設定に自動反映させる仕組みを新たに作った。異動した人が、以前の権限のまま情報システムを操作できないようにするためだ。自動反映が難しい業務システムについては、四半期に1回IDの「棚卸し」を実施し、不適切なIDがないかどうかをチェックしている。
■誤解8:ERPを導入すれば万全だ
→権限設定に不備があれば内部統制は機能しないERP(統合基幹業務)パッケージは、うまく活用すれば内部統制の強化につながる。2002年までにERPを稼働させたデンセイ・ラムダの熊澤本部長は、「在庫、原価、売掛金など社内のあらゆる数字が連動するため、特定の数字だけを不正に操作することは不可能になった。ERPがなければ、内部統制整備はもっと大変だった」と話す。
ただし、ERPを導入すればそれで万全、というわけではない。ERPパッケージ大手のSAPジャパンは、「マスター登録と個々の伝票登録を分離するなど、一般的な統制機能はERPに備わっている。しかし、権限の設定は自由にできる。日本版SOX法が話題になる前は権限設定に注意を払わない利用企業も多かった。運用の利便性を重視した設定をしていれば、内部統制は機能しない」と説明する。
例えば、同じ社員にERP上で「仕入れ先マスター」と「支払伝票」の両方を操作できる権限を設定しておけば、仕入れ先に架空発注するなどの不正が起きやすくなる。
管理職は経費支払いを自分で起票して自分で承認できる設定にしているケースも多く、これでは管理職の不正は防ぎにくい。
ERPの利用料金を節約したり、運用の手間を省いたりするために、複数の社員が同じ利用者IDを共有している企業も多いようだ。ERPを導入していても、適切な設定や運用が行われているかどうかの点検は不可欠になる。
(次回へ)
