金融庁がまとめた「基準案」によれば、内部統制は6つの要素で構成する。既に内部統制に取り組んでいる企業が、COSOの各要素をどのように実現しているのか、運用のコツを紹介する。

 金融庁企業会計審議会内部統制部会が出した「基準案」は、米国の「COSOモデル」を基に、内部統制の構成要素を六つに大別する。各要素は、業務効率や法令順守などの「内部統制の目的」の達成に関係している。

 例えば、業務に必要な「情報と伝達」がなされなければ、業務効率は上がらず、不正の兆候もつかみにくい。企業のあらゆる業務にIT(情報技術)が使われていることから、「ITへの対応」はほかの要素を実現する基盤として特に重視される。

 ただし、この六つは経営の普遍的な課題でもある。「COSOモデルは概念的で、基本的な考え方は参考になるが、実務に落ちにくい」(富士ゼロックス法務部の笹本雄司郎マネジャー)というのが関係者の一致した見方だ。このモデルを参考に、自社に合った内部統制を作っていく必要がある。

図1●内部統制の6要素
図1●内部統制の6要素

■統制環境
トップの姿勢が風土を作る

「統制環境」

 統制環境は組織の風土を規定するもので、ほかの要素の基礎になる。「組織の風通しが悪い」「ノルマがきつい」といったものも統制環境だ。統制環境が悪ければ、いくら仕組みを作っても機能せず、不祥事が起きやすい。

 統制環境の最たるものは経営トップの姿勢だ。「子は親の背中を見て育つというが、社員は社長の背中を見ている。外向きには社会貢献と言いつつ、社内で『売上高が大事』と言っていたら、利益至上主義の社風になる」(青山学院大学大学院の八田進二教授)。

 富士ゼロックスは、「会社員のためのコンプライアンス入門」と題した、環境法規や公正取引などの内容を含んだ170ページのテキストを作成。2004年4月からグループの管理職や労務管理を担当する社員ら約1万7000人が、2カ月以内に自習し、理解度テストを受けた。

 この際、経営者教育を重視。「まず、社長に勉強してもらった」(法務部の笹本雄司郎マネジャー)。社長はテストで満点を取ったという。

 このほか、社長が全国の拠点を回って社員にCSR(企業の社会的責任)の重要性を説くトップキャラバンを実施。トップが前面に出て統制環境を作っている。社長がマスメディアに登場するときにも、「法務部から、こういうメッセージを発信してほしいと売り込む」(笹本マネジャー)。それを見た社員へのアピールになるからだ。

 一方で、部下にサービス残業をさせるなどの法令違反行為があった場合は、厳しい処分を下し、内容を全社に開示する。

■リスクの評価と対応
全社棚卸しで事前に手を打つ

「リスクと評価と対応」のチェックリスト

 企業の目標達成に影響を与えるリスクを洗い出し、対応するのも内部統制に不可欠な作業だ。リスクが大きい業務にはチェックの仕組みを設けたり、内部監査の頻度を増やすといった手を打つ必要がある。

 野村総合研究所の小沼靖上級コンサルタントは、「内部統制の取り組みへの積極性は、その企業がリスクをきちんと把握して投資家に開示しているかどうかに端的に表れる」と指摘する。

 キリンビールは2004年から、約30ある部門ごとにリスクの「棚卸し」を行い、事前に手を打つ取り組みを始めている。「リスクはあってはならないもの、という観念を取り払った」(CSR・コミュニケーション本部CSR推進グループの東淳部長代理)。

 リスク管理委員会事務局が各部門をヒアリングし、1部門当たり30個程度のリスクを申請してもらう。「法令違反のリスク」といった表現ではなく、「工場で○○法に定められた届け出が遅れるリスク」などと具体化する。

 リスクの分類方法は様々あるが、キリンは「外部環境リスク」「オペレーションリスク」「意思決定情報リスク」の三つに大別している。リスク項目ごとに「影響度」「発生確率」をそれぞれ1~5点で評価する。リスク軽減に向けた行動計画や、その評価指標も決める。

図2●キリンビールのリスク管理体系
図2●キリンビールのリスク管理体系

 例えば、経営企画部は「少子高齢化などによって酒類需要が縮小し、成長力が低下するリスク」を外部環境リスクとして申請。酒類以外を強化する戦略の進ちょく度を評価指標として、リスクを軽減しようとしている。

 事務局はリスクを集約。複数部門で重複して挙げられたものなどを整理する。発生確率と影響度の掛け算が12点以上など、一定の基準に該当するリスクについて、各部門に継続的に追跡してもらうようにしている。

 キリンは経営管理の枠組みとして全部門でバランス・スコアカード(BSC)を採用している。各部門は、リスク軽減策を自部門のBSCに組み込んで管理。BSCでは、四半期ごとにその期の施策の進ちょく度をあらかじめ設定した評価指標で確認するが、リスク軽減が進んだかどうかも同時に見る。「管理の仕組みが増えて現場の仕事が煩雑になるのを避けた」(東部長代理)。

 一方、アメリカンファミリー生命保険は、リスク評価を代理店検査の基礎情報として使う。代理店が適正な保険勧誘をしているかを確かめるための検査を年間3000回以上行うが、代理店は全部で約1 万7000もあり、検査が行きわたらない。そこで、保険契約の絶対数や契約の早期消滅率などの指標を集めてリスクを評価。リスクが高い代理店は検査の頻度を増やす。

図2●キリンビールのリスク管理体系
図3●キリンのリスク管理表(取材を基に本誌作成)
[図をクリックして拡大表示]

■統制活動
手続きを洗い出し証拠残す

「統制活動」チェックリスト

 統制活動は、不正や非効率を防ぐのに役立つ業務の方針と手続きのこと。権限の分離や、けん制機能などが含まれる。社内の業務手続きを「業務フロー図」や「リスク・コントロール・マトリクス」などの形で書き出す「文書化」を行い、問題点・リスクを洗い出して対処法を考えるのが一つのやり方だ。

 米国で上場する野村ホールディングス(野村HD)は、2004年8月から米SOX法(企業改革法)で必要とされる文書化作業をはじめ、12月までにほぼ完了した。130の部・課が関与し、作成した文書が約5000ページに上る膨大な作業だった。あまりにも分量が多いため、「週2回の報告会は6~7時間続き、へとへとになった」(グループ・インターナル・オーディット部の後藤康則次長)。

 この過程で手続きを変更した点もある。典型的なのは記録の保存。例えば、上司が部下の行為が適正かどうかを確認するためにチェックシートを使うことがある。「従来は確認が終われば捨てていたが、SOX法では『証拠』が求められる」(後藤次長)。倉庫などを確保し、チェックシートを保存するようにした。

 作成した業務手続き文書そのものや、手続きに関連するリスク対応の進ちょく状況などを管理する機能を持つITツールも出回っている。「SOX法準拠」をうたったツールを活用する企業もあるようだ。

次回へ