前回は内部統制の6要素のうち、「統制環境」「リスクの評価と対応」「統制活動」を取り上げた。今回は「情報と伝達」「モニタリング」「ITへの対応」について解説する。

■情報と伝達
情報公開で不正通報を促す

「情報と伝達」のチェックリスト

 必要な情報が経営者や社員に適切に伝わる仕組みも、内部統制にとって重要である。この手段として、上司を通さずに直接不正を通報できる内部通報制度を設ける企業は多いが、有効に機能している例は少ない。

 2004年3月、帝人の子会社・帝人ファイバーの徳山事業所(山口県周南市)は、高圧ガス保安法違反で、県知事から20日間にわたる操業停止の行政処分を受けた。

 「高圧ガス施設で無許可工事をしたうえに、立ち入り検査前に配管を外した」。同年1月に、帝人の「企業倫理意見箱」へ通報があった。直ちに調査を開始し、違法行為を確認。通報から2週間後には徳山事業所長が県当局に謝罪した。

 問題が起きたのは、新事業である原料リサイクルの施設だった。社内外の期待を集めていたが、生産トラブルが多発。施設の改造を急いだ末の違法行為だった。

 しかし、帝人では内部通報制度が機能した。「企業倫理意見箱のおかげで、リスクが大きくなる前に早期に解決できた」(帝人の河井隆雄CSR室長)。帝人もキリンビールと同様に、部門ごとにリスクを棚卸しする作業をしていたが、違法工事のリスクまでは把握できなかった。内部監査やリスク評価だけでは、不正に対する備えは十分でないことが分かる。

 帝人は、企業倫理意見箱以外に外部機関が通報を受け付ける窓口も運用。社員は内容によって使い分けられる。

 これらが定着しているのは、「情報開示をきちんとしているから」(河井室長)だという。2004年度は約30件の通報があったが、内容と処置は、個人名が特定できないように抽象化し、個別に社内ネットで公表する。

 この年は個人情報保護法に関する通報が多かった。「上司が書類を印刷したままプリンタに放置している」といった通報には、本人に注意を与えた。ささいな通報にも対応していることを示すことで、社員の制度に対する認知や信頼が高まるわけだ。

 社外の声を内部統制に生かす仕組みも重要だ。情報誌を発行するリクルートの場合、収入源である広告はリスク要因でもある。

 「初回無料と書いてあったが、実際には無料じゃなかった」。こうした読者からの苦情は年間約3000件ある。

 これらを「コンプライアンスオフィス」内の専門部署に集約。問い合わせ内容によって約130種類の対応手順がある。広告内容が違うという苦情の場合は、すぐに営業担当者に伝え、広告主に話を聞いてもらう。広告主に悪意がある場合は、以後広告を掲載しない。専門部署が経過を把握し、営業担当者が広告主に遠慮して対応が遅れることがないようにしている。

図4 帝人のグループ内コミュニケーションの仕組み
図4 帝人のグループ内コミュニケーションの仕組み

■モニタリング(監視活動)
内部監査は問題解決のために

 モニタリング(監視活動)は、内部統制が有効に機能しているかどうかを継続的に評価する活動のことである。ここで重要なのが、内部監査だ。富士ゼロックスには、30年近く前から内部監査部門がある。現在、社長直轄の「経営監査部」のうち13人が内部監査を担当する。

 監査というと、監査部門と現場の対立の構図になりがち。「当社でも昔は対立があったが、最近では一緒に問題を解決しリスクをつぶすという姿勢で取り組んでいる」(経営監査部の吉田邦雄コンサルタント)。そのために、監査後には報告会を行い、具体的な改善提案をする。現場の担当者から「監査を受けて良かった」と言われることも多いという。

 典型例が、製品不具合に関する監査だ。2002年9月、レーザープリンタに搭載した富士ゼロックス製の部品(印字装置)が発火するという重大事故が発生。40万台以上の部品を無償交換し、10億円以上の費用を要した。

 直接的な事故対応とは別に、経営陣から経営監査部に製品の安全管理体制を監査するよう指示があった。経営監査部が調べた結果、品質管理の根本的な仕組みを見直すべきだと考え、「品質コスト」の導入を提言。約1年半かけて、故障発生時のサービス費用や、工場での対応費用などを品質コストとして把握できる会計システムを構築することになった。

 不具合が多く品質コストがかさめば利益が吹き飛ぶため、設計や生産にかかわる関係者は、製造原価だけではなく品質コストも下げようと努力する。回り道ではあるが、結果として品質が向上するというわけだ。

 監査には一定の手法(監査技術)があるが、富士ゼロックスは独自手法を多数開発した。その一つが「監査シナリオ」と呼ぶものだ(図5)。

 現場に行く前に周辺情報を集め、問題点の仮説をシナリオの形にまとめる。現場ではそれに基づいて質問をしたり、証拠を求める。「仮説は8~9割は当たる」(吉田氏)という。

 監査シナリオは、「問題点→原因→対策」という流れを複数パターン作っておく。問題点は、現場が「不知」か「既知」か、既知の場合は「知っているのに看過している」「自分が当事者なので動きにくい」など四つの分類に整理する。

 この分類は原因の推測に役立つ。例えば問題を看過している場合は、現場が忙し過ぎて対応できていないことが考えられる。監査先の部門では「忙しいですか」と聞いたり、残業時間を調べたりして、仮説を検証し、改善策を提言するわけだ。

 一方で東芝は、内部監査を担当する経営監査部と人事部門が連携し、事業部長などになる手前の幹部候補を、毎年10人程度経営監査部に異動させている。「営業一辺倒で来たような人にも、経営の立場からものを見られるようになってもらう」(村岡富美雄・執行役常務経営監査部長)ためだ。

 経理から情報システムまで幅広い監査を行う経営監査部で、1~2年間経験を積む。この制度は1999年から続いており、既に20人以上が経営監査部を巣立って事業部長などに就任している。

図5 富士ゼロックスが内部監査に使う「監査シナリオ」の策定方法
図5 富士ゼロックスが内部監査に使う「監査シナリオ」の策定方法
[画像のクリックで拡大表示]

■IT への対応
IT 部門が関与しシステム点検

「ITの利用」のチェックリスト

 内部統制整備には、ITの活用が不可欠である。その内容は「IT全般統制」と「業務処理統制」に分かれる。前者では、セキュリティ管理や外部委託管理など情報システム運用のためのプロセスが含まれる。悪意のある人がシステムにアクセスしてデータを書き換えられるようでは、統制は機能しない。

 業務処理統制は、個々の情報システムに組み込んだ統制のこと。例えば、物を販売するときに、与信枠内で、かつ審査部門の承認がないと販売できない、といった仕組みを組み込む必要がある。

 ERP(統合業務)システムには、もともとこうした仕組みがあるケースが多く、内部統制強化に役立つ。しかし、職責を厳密に切り分けるといった統制は現場に不便さを強いるため、「欧米製ERPは日本になじまない」という声が根強かった。

 リスク管理専門コンサルティング会社であるプロティビティジャパンは、「日本企業ではERPをカスタマイズして統制のレベルを下げるケースが多い。今後は、コスト削減だけではなく、統制という面でシステムを見直す必要がある」と指摘する。

 内部統制構築に当たって業務プロセス全般を見渡せる立場にあるIT部門は大きな役割を果たすことになる。

 実際、野村ホールディングスでは業務手続きを文書化する過程で、会計の専門家以外に、IT部門も関与した。「IT部門でなければ、システムで行われる処理の中身が分からず、十分な文書化ができない」(後藤次長)からだ。

 東芝では、経営監査部とIT部門が共同で情報システム監査を行う。セキュリティ面だけではなく、「経営で求められる情報を出力できるかどうかも見る」(村岡部長)。例えば、部門の目標が「在庫の削減」なのに、システムで製品別の在庫を細かく見られるようになっていない場合は、監査で指摘し、システムの変更を促している。