シン・内部統制PJ -簿記3級の次の本当の内部統制入門 (試論)-
この記事は、『会計系 Advent Calendar 2024』の22日目の記事です。
※閲覧注意(初稿:28,600文字)
■自己紹介
こんにちは。筆者はとある事業会社に経理として勤務しているblanco(twitterアカウント:@amor_tizacion)と申します。筆者はこれまで10年以上、原価・損益計算、全社予算・決算作成、開示・IRなどを中心に経理実務に取り組んできました。今は経理ではない別の仕事をしています。
■想定読者・期待成果・キーワード
本稿はそれなりの長編になっているため、全体感をもちながらなるべくストレスなく読み進められるように、先に結論とキーワードを書いておきます。ご関心のある方は読み進めていただき、ご意見・ご感想をくださいませ。
本稿の想定読者レベル:
▼ 簿記2~3級で会計の基本を学習したものの「内部統制ってなんかよくわからない」という方(※)
(※あくまで水準感の話で、簿記の理解が無くとも、また内部統制の理解がゼロでも全く問題なく読み進められます)
本稿を読むことによる期待成果:
▼ 筆者が経理実務や公認会計士試験の学習を経て得た内部統制についての理解(※)をギュッと追体験できる。(※内部統制評価、内部統制報告制度、内部統制監査ではなく、「内部統制」そのものに対する理解)
▼ 内部統制の考え方や方法論を経理実務の中でどのように活かすかのヒントが得られる…かもしれない。
▼ 内部統制に対する苦手意識が少し和らぐ…かもしれない。
本稿のキーワード:
▼ 内部統制は「リスクに備えて対処」するもの
▼ リスクがさき、内部統制があと(、内部統制報告制度はさらにそのあと)
▼ 属人化・精神論を排した「一定程度の再現性のある仕組み」作り
■目次
■まえがき
本稿は、会計については簿記2~3級で学習したものの、「内部統制ってなんかよくわからない」というレベルの新人~若手経理に、「手触り感のある内部統制の理解」を持ってもらい、その後の業務の解像度を高めて成長を促すことを目的とするものです。
内部統制は会社にとって非常に重要かつ有意義な仕組みで、経理財務パーソンにとってもぜひ理解しておきたい重要な概念です。一方で、まっさらな新人に対する教育が非常に難しい概念だと感じています。そう感じる理由は2つあり、1つ目は世間に体系的かつ入門的な学習機会が乏しいこと、2つ目は内部統制報告制度(J-SOXとも呼ばれます)という法令対応の影響が強すぎることです。
1つ目の理由について、例えば簿記の分野では簿記検定のように、入門者にも取り組みやすく教材が充実した学習機会があります。「とりあえず簿記3級から挑戦してみて」と言うだけで一定の導入ができてしまいます。一方で内部統制については、内部統制を学習範囲に含む国際資格やIPO関係の資格・検定はあるものの、簿記3級レベルの気軽さで薦められるような学習機会は無いように思います(もしご存じの方がいれば教えてください)。そのため、内部統制については、OJTで先輩社員から断片的に教えられることが多いのではないかと考えています。
2つ目の理由について、内部統制報告制度とは内部統制報告書の提出を上場会社に義務付ける制度で、経営者はこの報告書の中で、財務報告に係る内部統制が有効に機能しているかどうかを評価します。さらにこの内部統制報告書が適正かどうかについて監査法人が監査することになっています。この制度に限ったことではありませんが、「外部からの評価を受けて適正と認められる」ためには、世間一般で認められたルールに基づいて様々な体制や資料を準備してそれを外部に説明しなければなりません。これはとてつもなく負荷がかかり大変なことです。そのせいもあり、「内部統制」といったらかなり多くの人が「内部統制報告制度」のことをイメージしてしまうようになっていると感じます。また、「内部統制」のことを調べようとすると「内部統制報告制度」の中でキッチリ決まっているルール、言葉の定義、お作法の話ばかりが出てきます(しかも入門者はそのような事態になっていることを知覚できません)。そしてそのルール、言葉の定義、お作法の話は、法令対応に関するものであるため、入門者にとって非常に小難しいものになっており、内部統制を身近なものとして学ぶうえでの大きな障壁になっていると考えています。
本稿では、これら2つの問題をできるだけ解決する「内部統制3級」的レベルの学習資料を目指しました(実際にそのような資格があるわけではなく、簿記3級的な入門レベルという意味です)。内部統制関係の入門書籍は内部統制報告制度対応を前提としたものが多いように思いますが、本稿は内部統制報告制度対応から離れて内部統制そのものの重要性や考え方に焦点を当て、内部統制報告制度対応にほとんど関与しない経理財務パーソンでも内部統制の本質、意義、重要性を理解できるように構成したつもりです。
筆者は、経理実務のOJTで断片的に「内部統制報告制度対応の中の内部統制」に触れて「内部統制ってなんかよくわからない」「内部統制というと、外部からの評価を受けるための形式的な仕事しか想起されない」と強く感じていました。その後に、公認会計士試験の学習を通じて「内部統制そのもののコンセプト」を体系的に学習し、その意義や重要性を一定程度理解したという経験をしています。
本稿を通じて解説する「内部統制そのもののコンセプト」は、それまで自身が大事だと思って取り組んできた「精神論を排して仕組みで業務品質を向上する」というコンセプトに非常に合致するもので、内部統制の学習をする上で感動すら覚えました。そうした経験を通じて、「経理職は、内部統制報告制度対応ありきではない、内部統制そのもののコンセプトをまず先に学ぶべきではないか」と感じました。そうした経験をふまえ、「自分でどこがどうわからないのか説明できない入門者」と「入門者がわからない点を想像するのが難しい専門家」とのちょうど間で、理解の架け橋となるような学習資料が書けないかと考えたのが、本稿に取組んだ背景です。やや長い原稿となっておりますが、お付き合いいただければ幸いです。
(追記:2025/01/01 22:00)
なお、本稿の題名の「シン・内部統制」とは「内部統制報告制度対応のための内部統制」ではない「内部統制そのもののコンセプト」のことを指します。
今後、本稿を下地にしつつ「シン・内部統制」を掘り下げて、同人誌を制作できればと考えています。是非本稿のご感想などコメント等に残していただけるとありがたいです。
(追記終わり:2025/01/01 22:00)
■注意書き
筆者は公認会計士であり、内部統制についての最低限の理論的な学習はしており、経理職としても内部統制に関する実務経験が全くないわけではありません。しかしながら、次の3つのいずれの経験もありません。
①経理職として内部統制をゼロ→イチで会社に導入した経験
②事業会社内の内部統制評価責任部署での勤務経験
③公認会計士となった後に監査に関与して内部統制の評価を実施した経験
つまり、筆者は内部統制自体の専門家ではありません。なぜ専門的なバックグラウンドがない筆者がこのテーマを選んだかについては「まえがき」に記載した通りですが、特にプロフェッショナルの皆さんにおかれましては、”合格体験記”ならぬ筆者の内部統制”理解体験記”的な感じでお読みいただければ幸いです。①~③の経験をお持ちの方から、ここの説明は誤りではないか、ここの表現は不正確ではないか、などのご指摘があれば大変助かりますので是非リプライ、コメント等お寄せください。よろしくお願いします。
■第1章 内部統制とは -概論-
まずは日本国内で一般によく知られる定義を見てみましょう。『財務報告に係る内部統制の評価及び監査の基準』[i](以下、『基準』という。)によれば内部統制とは、
「基本的に、業務の有効性及び効率性、報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される。」
と定義されています。
「何を言っているのかわからない」と思った方、安心してください。大丈夫です、私も初見ではそう感じました。この定義の何がわからないのか、については以下のnoteにまとめていますが、入門者の方は読み飛ばしていただいて問題ありません。
本稿では、入門者の方がより内部統制の実像を理解しやすいように、別の説明を用意しました。この説明でもいきなりスッと頭に入ることはないとは思いますが、『基準』に比べると日常使いの言葉を用いていると思いますので、本稿を読む中で何度か読み返してみてください。
筆者なりの解釈であえてシンプルに言うと、
▼内部統制とは「事業活動の目的が達成できないリスクに備えて対処するための社内環境基盤と業務の仕組み」です。
▼内部統制の目的である「事業活動の目的が達成できないリスクに備えて対処する」とは、具体的には「事業活動や個々の業務の失敗、不正、事務処理上のミス、非効率、などの発生してほしくないことについて、①発生リスクを抑えること、②発生を未然に防ぐこと、③発生後にリカバリ可能なうちに事後に正すこと」です。
▼内部統制の目的達成の手段である「社内環境基盤と業務の仕組み」とは、具体的には「①ルールが守られやすく組織力を高める社内環境基盤、②適切なルールを作ってそのルールが守られているか見張る仕組み、③ルールから外れた行為ができない又はしにくいよう制御された仕組みの3つ」で、これらを整備・運用することで内部統制の目的を達成します。
※なおここでいうリスクは「プラスもマイナスも起きうる不確実性」という意味ではなく、「望ましくないことが発生する可能性」という意味でのリスクです。『財務報告に係る内部統制の評価及び監査に関する実施基準』(以下、『実施基準』という。)でも「リスク」という用語は負の影響を与える可能性のみを指して使われており[ii]、そちらとも整合しています。
筆者の表現もまだ難しいかもしれません。網羅性と正確性をある程度犠牲にして、もっとくだけた表現を使えば「内部統制=起こったらヤバいことを組織的に防ぐ仕組み」です。つまり、「内部統制を整備する」とは「何が起こったらヤバいのかというリスクについて考え、それを組織的に防ぐための環境と仕組みを会社の中に作ること」と考えてください。
会社内のどのようなリスクに備えてどのような仕組みが整備・運用されるかについてのさらに具体的な事例は後述しますが、経営者は、このような環境と仕組みを整備することで会社全体にわたって行われる事業活動の隅々まで直接に自分の目が行き届かなくても、「様々なリスクに備えて社内に適切なルールが設定されてそのルールが守られている、という状態のもとで事業活動がおおよそうまく実施されている」ことを一定の水準で信頼できるようになります。
逆にもし適切な内部統制が欠如している場合には、リスクに対処するためのルールがない、ルールがあっても守られているかわからない、ルールから外れたことが自由にできてしまう、という非常に危険な状態であるといえます。このような状態では、防ぐことができたはずの事業活動や業務の失敗、不正が頻発しかねません。これが、筆者が「まえがき」で内部統制が非常に重要かつ有意義な仕組みであると述べた理由です。
これから、内部統制の考え方、それが事業活動のなかでどのように活きるのか、一緒に学んでいきましょう。
■第2章 内部統制とは -具体的な内部統制の例 その1-
ここからは、内部統制ってどんなもの?というイメージを膨らませるために、具体的な内部統制の事例を紹介していきます。おさらいすると、内部統制は「リスクに備えて対処」するものと説明しました。
(再掲)
つまり「リスクがさき、内部統制があと」なのです。リスクがあって初めてそれに対処するための内部統制が必要になります。対処すべきリスクのないところで内部統制として社内環境基盤や業務の仕組みを整備しても時間や労力が無駄になってしまいます。したがって、まずどのような対処すべきリスクがあるかを考え、次にそのリスクにどのように備えるかを決めます。
(筆者の定義では、)このリスクへの備えを社内環境基盤または業務の仕組みという形で整備・運用していればそれが内部統制ということになります。よく「リスクを抑える」という言い回しをしますが、リスクへの備え方は実は1種類ではありません。リスクに対する主な備え方として受容、回避、移転、低減の4つがあります。これらを選択したり組合せたりしながらリスクを許容可能な総量内にコントロールすることを「リスクを抑える」と言っているのだと筆者は考えています。
例えば「自動車事故を起こして金銭的損害を負う」というリスクに備えるケースを考えてみましょう。
受容:何も対策せず自動車を運転する
(損害リスクを許容可能なものとして受容する)
回避:自動車に乗ることをやめて電車に乗る
(リスクを伴う行動自体を中止することで損害リスクを回避する)
移転:自動車保険に加入する
(損害リスクを組織の外部に転嫁する)
低減:自動ブレーキシステムのある自動車を運転する
(損害リスクの発生可能性や影響を低減する)
※受容は単独では「リスクを抑える」ことにはならないのですが、許容可能と評価したリスクを受容することで他の対策にリソースを避けるようになるという意味で、「トータルでリスクを抑える」ことに貢献する手段ということができます。気持ち悪ければ外して考えても問題ありません。
保険の加入?安全な車の選択?私はプライベートでもそれくらいやっているよ、という方も多いでしょう。もしそれを組織的なルールを作って業務の仕組みとして運用しているのであれば、それが内部統制ということになります。例えば、「原則として社員は自動車を運転せず、運転をする場合は上司の承認を得る」とか「社員が自動車を運転する場合は必ず自動車保険に加入する」とか「社用車には自動車ブレーキシステムのある車種のみ採用する」といったルール(方針・手続)が、リスクに対応するための業務の仕組みとして整備・運用されていれば、それらが内部統制ということになります。内部統制のイメージが湧いてきたでしょうか。
なお、リスクへの対応方法にどこの会社でも共通する絶対的な正解はありません。例えばリスクへの備え方として「低減」を選択する場合も、「低減」のための具体的なリスク対応方法には様々なものが考えられ、自社にとってのそのリスクの大きさ、自社のリスクに対する許容度、取り得るリスク対応方法の選択肢とそのコスト、などの要因から最適解を見つけていくことになります。
■第3章 内部統制とは -具体的な内部統制の例 その2-
それでは次に、もっと経理業務の実務的なリスクに対してどのような内部統制で対処しうるかを考えてみましょう。ここでは販売債権の貸倒れリスクを検討します。
事業活動の目的の一つを「商品を仕入・販売し利益を得る」ことと位置付けると、この目的を阻害する要因、つまり発生してほしくないことの一つとして「貸倒れにより売掛金が回収できず損失を負うリスク」が考えられます。これは、利益を得るはずが商品を失った分むしろ損失を出してしまうという点で「商品を仕入・販売し利益を得る」という事業活動の目的を阻害するリスクと言えます。
いきなりこのリスクにどのように備え対処するかを考えても漠然としていてリスクへの対応方法が思いつかないかもしれません。リスクが実際に発現するのはどのような場合か?なぜリスクが発現してしまうのか?ということを問いかけて因果関係をさかのぼると対処すべき大元の原因らしきものが見つかることが多いです。
例えば貸倒れ、つまり取引先の支払能力が無くなり債権が回収不能となる事態が発生する理由を考えると、
信用力(支払能力)が低い取引先に掛販売してしまうことや、取引開始時は十分あった信用力が時を経て何らかの理由で低下したのに取引が継続してしまっていること
などが考えられます。
これらのリスクに対処するための仕組みとして、
「取引開始前の信用情報調査を必須とし、評価した信用力に応じて掛売上を禁止したり与信上限を設定したりするルールを作る」ことや「調査・評価した信用力を毎年見直し、与信上限額を更新するルールを作る」こと
でリスクの低減を図ることができます(取引自体をやめる場合はリスクの回避とも言えます)。このように、リスクに対処するために整備・運用されるルール=業務の仕組みが内部統制です。
もちろん、信用力の設定やその毎年の見直しを行っただけでは、許容できない金額規模の貸倒れが発生するリスクが十分に低減できるとは限りません。例えば、営業パーソンのボーナスの査定が売上高で行われる場合を考えてみましょう。その評価方法のもとでは、営業パーソンは自分の成績を上げるために客先にたくさんの商品を販売したいと考えるため、担当客先の信用力が過大に評価されるよう働きかけるインセンティブが生まれます。それが、営業パーソンの巧みな誘導、アピールにより本来の信用力以上の高い与信限度額が設定されてしまうことにつながるかもしれません。そうなると、実際には信用力の低い取引先に大量に商品を売ることができるようになってしまい、許容できない金額規模の貸倒れが発生するリスクが高くなってしまいます。こうした信用力を過大に見積もるインセンティブが生じるリスクに対しては、
「信用力の評価を極力客観性のある指標で実施するルールを作る」ことや「営業担当の評価を売上高ではなく入金額(プラスの評価)・回収遅延額(マイナスの評価)を基準に実施するルールを作る」こと
が有効な内部統制になるかもしれません。
また、せっかく設定した与信上限額も、与信残高と受注高をきちんと管理できていない場合には、誤って与信上限額以上の販売を意図せず実施してしまうこともあるかもしれません。このようなリスクに対しては、
与信残高と受注高を日々システム上で管理して「与信上限額を超過する取引の出荷処理をシステム上処理できないように設定する」こと
が有効な内部統制になるかもしれません。
以上のように内部統制とは、事業活動の目的が達成できないリスクに備えて対処するための業務の仕組みであり、具体的に発生してほしくないことを想定し、①その発生リスクを抑えたり、②発生を未然に防いだり、③発生後にリカバリ可能なうちに事後に正したりするために、適切に設計されたルール(方針・手続)です。前述の例では、発生してほしくないこととして「貸倒れにより売掛金が回収できず損失を負うリスク」を想定しましたが、他にも横領、粉飾、過剰な値引き、不正アクセスや情報漏洩、労災、作業ミス、この人にしかできない・わからないという人的バックアップの不在、等々様々なことが考えられます。「気を付ける」「よく確認する」というような精神論を排して、これらの発生リスクを再現性の高い仕組みで低減するために、内部統制は有用なフレームワーク・考え方になります。
一方で、内部統制の整備を考える上で留意してほしいことがあります。
アレも心配コレも心配と言い出してむやみに内部統制を増やすと、ルールの設定や運用という「管理コスト」がどんどん増えていく可能性があるということです。100万円の貸倒れを防止するために300万円の管理コストをかけていては本末転倒です。管理コストは、管理に係る人件費の支払だけではなく、事業のスピード感が失われる等のデメリットも含みます。したがって、認識したリスクが自社にとって低減等を考えるべきものなのか、リスク低減等の効果に対して対応コストが見合っているのかを常に自問しながら内部統制の要否や内容を考えなければなりません。リスクの有無を無視して「他社がやっているから」、「昔からそうなっているから」といった理由でリスクの低減に寄与しない内部統制を整備・運用することがないようにしなければいけません。あくまで「リスクがさき、内部統制があと」です[iii]。
また内部統制が新たな別のリスクを生む可能性にも注意が必要です。例えば先ほど、信用力を過大に見積もるインセンティブが生じるリスクに対して、「営業担当の評価に回収遅延額(マイナスの評価)を基準に実施するルールを作る」という内部統制を例示しました。確かに営業担当はこのルールにより取引先の信用力に対する関心が高まるでしょう。ただしそれと同時に、回収遅延やその恐れを自身の評価のマイナスにつながるものとして隠蔽する不正を行うインセンティブが生まれるかもしれません。ここからわかるように、内部統制を整備するうえでは、個々のリスクや個々の内部統制を独立に考えるだけでは不十分で、最終的には全体のシステムとしてどのようにリスクに備えて対処するかを検討する必要があると考えます。
■第4章 内部統制とは -リスクに備えて対処するとは-
ここまで『基準』や内部統制の小難しい理論の説明をすっ飛ばして、内部統制が具体的にどのようなもので、どのようなことに役立つのかを説明してきました。筆者は『基準』をベースにした「内部統制報告制度対応としての内部統制実務に思考を縛られ過ぎるのは良くない、内部統制入門者にいきなり『基準』の理論的な文書を説明するのは良くないというスタンスではありますが、そうは言っても『基準』は内部統制の整備・運用について理論的に整理された文書であり、非常に参考になる方法論や考え方が散りばめられています。
第4章では、『基準』で説明されている内部統制を構成する6つの基本的要素という概念について、それらを「リスクへの備えと対処」という観点で再構成し、6つの基本的要素を通じて内部統制がどのように「発生してほしくないこと(事業活動目的達成の阻害要因)」の発生リスクに備えて対処するかという流れを解説します。この章を通じて、『基準』の理論的な枠組みの一部を理解するとともに、『基準』で提示されている具体的な内部統制の有用な考え方を学びましょう。経理部門に所属している人は、内部統制報告制度の関連業務を行うことになった場合は『基準』の理解が必要になるので、『基準』の言葉遣いに慣れておくに越したことはありません。
まずは、内部統制がどのように「発生してほしくないこと(事業活動目的達成の阻害要因)」の発生リスクに備えて対処するかという大きな流れを『基準』の言葉に囚われずに説明していきます。その後に『基準』の6つの基本的要素について説明します。
プロセス【1】:リスクの存在
これまで例示してきたように、事業活動、社内業務、社外との取引、事業環境のなかには、やりたいことが思うようにいかない、あるいは発生してほしくないことが発生してしまうリスクがたくさん存在しています。第2章、第3章で「リスクがさき、内部統制があと」と述べてきたように、この「リスク」が内部統制検討の出発点になります。
具体例:商品を仕入れ、加工して販売する事業活動を行うが、掛販売を行うので貸倒れにより売掛金が回収できず損失を負うリスクがある。
具体例:商品を仕入れ、加工して販売する事業活動を行うが、掛販売を行うので貸倒れにより売掛金が回収できず損失を負うリスクがある。
プロセス【2】:リスクを拡大/低減する社内環境基盤
ただ、同じ事業を営んでいて、同じ事業環境に置かれていたとしても、リスク、つまり発生してほしくないことが実際に発生してしまう可能性は会社ごとに異なると考えられます。例えば、経営者がメチャクチャなパワハラ気質で法的にグレーな方法でも業績が最優先という思想の会社と、誠実な経営者が倫理的な行動様式や価値観を社内に積極的に共有する好循環ができている会社では、望ましくないことが発生する可能性が全く違います(どちらが利益の稼得に優位かという点についてはここでは議論しません)。つまり、どのような社内環境基盤のもとで会社が運営されているかにより、リスクが拡大したり低減されたりしていると考えられます。
※図の中の統制環境、情報と伝達、ITへの対応という『基準』の用語については後ほど説明します。
具体例:営業部門では「債権回収まで営業担当者の仕事」という文化が根付いており、部門内の営業企画チームが各営業担当者の債権管理を支援する機能と権限を有している。これがリスクを低減する間接的な効果を有していると期待される。
プロセス【3&4】:リスクの評価、リスクへの対応
そうした会社の中の社内環境基盤もひっくるめて、どのようなリスクがあり、そのリスクがどれくらい高いかを評価します。
リスクを評価した結果、重要性があると評価されたリスクについて、回避/移転/低減等の対応方針を決めます。
具体例:営業部門の意識は高く体制は充実しているものの、営業拡大中で中小規模の新規取引先が多いことから貸倒リスクは高く重要性があると評価する。
具体例:貸倒れリスクに対し、評価結果に基づきリスク低減の対応を行う方針とする。
プロセス【5】:統制活動の設定・実施
対応方針に基づき、リスクの回避/移転/低減等の具体的なルール(方針・手続)を定めます。
具体例:貸倒れリスク低減のために、取引先の信用力に基づき取引先ごとに債権限度額を設定して信用力の低い債権を抱え過ぎないようにする。また債権限度額は毎年見直す手続を定める。
プロセス【6】:モニタリング
「事業活動の目的が達成できないリスクに備えて対処するための社内環境基盤と業務の仕組み」として整備された内部統制が有効に運用されているかを継続的に監視、評価し、必要に応じ内部統制を是正します。
具体例:取引先の債権限度額がルールに基づき申請されていることを営業企画チームが証憑から確認する。債権残高が設定された限度額を超過していないか営業企画チームが監視する。年度末に貸倒れの発生状況を確認し、内部統制が有効にリスクを抑えられているか営業企画チームが検証・評価し、営業部長及び管理部長に報告する。
以上が、内部統制が発生してほしくないこと(事業活動目的達成の阻害要因)の発生リスクに備えて対処する流れの概略イメージ(以下、『概略イメージ』という。)です。内部統制が整備された後に業務を担当し始めて、既に整備された内部統制の運用評価だけをやっている人のなかには、「内部統制とはモニタリングのことである」と誤認されている人もいるかもしれません。実際には、モニタリングは重要であるものの内部統制の一部の工程であり、筆者はむしろ内部統制のカギとなる部分はその前のプロセス【1】~【5】にあると考えます。
それでは、次に、『基準』で説明されている内部統制を構成する6つの基本的要素について説明していきます。
■①統制環境
『基準』・『実施基準』の定義では、
「統制環境とは、組織の気風を決定し、組織内の全ての者の統制に対する意識に影響を与えるとともに、他の基本的要素の基礎をなし、リスクの評価と対応、統制活動、情報と伝達、モニタリング及びITへの対応に影響を及ぼす基盤をいう。」[iv]「統制環境は、組織が保有する価値基準及び組織の基本的な人事、職務の制度等を総称する概念である。」[v]とされています。具体例として、① 誠実性及び倫理観、② 経営者の意向及び姿勢、③ 経営方針及び経営戦略、④ 取締役会及び監査役、監査役会、監査等委員会又は監査委員会の有する機能、⑤ 組織構造及び慣行、⑥ 権限及び職責、⑦ 人的資源に対する方針と管理が挙げられています。
つまり①統制環境とは、一つ一つの業務プロセスに対する仕組みではなく、会社内で業務が行われるうえでの全般的な土壌、土台のようなものです。『基準』では、①統制環境は②~⑥の「他の基本的要素の前提となるとともに、他の基本的要素に影響を与える最も重要な基本的要素である」[vi]と説明されていますが、筆者はこれには2つの意味があると解釈しています。
1つ目の意味は、①統制環境が事業活動等から生じるリスクを拡大又は低減する効果があるということです。つまり、例えば、組織やその構成人員にモラル(誠実性や倫理観)があれば法令や社内ルールは遵守されやすくなり、違法行為や不正行為のリスクは低減されるでしょう。モラルのみに依拠して違法行為や不正行為を防ごうとするのは非常に危険であることは後述しますが、そうであってもモラルの高い会社はモラルの低い会社に比べて望ましくない状況が発生するリスクが相対的には低減されるでしょう。
2つ目の意味は、①統制環境が他の基本的要素の実践を支援する役割があり、不可欠なものだということです。例えば、内部統制としてリスクの回避/移転/低減等の具体的なルール(方針・手続)を定めたとしても、そのルールを組織の隅々に周知する(後述する「④情報と伝達」の一つ)ためには適切な組織構造や権限を設定(「①統制環境」の一つ)が必要になりますし、そのルールが遵守されるためには、それが経営方針や経営戦略(「①統制環境」の一つ)と整合的であると構成員に納得して腹落ちしてもらわなければなりません。
前掲の『概略イメージ』の図では①統制環境は、リスクへの備えと対処の観点で上記の1つ目の意味に着目してプロセス【2】に記載していますが、実際には上記の2つ目の通り、他の基本的要素を支える意味でも最も重要な内部統制の要素であることをおさえておきましょう。
■②リスクの評価と対応
『基準』の定義では、
「リスクの評価と対応とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、当該リスクへの適切な対応を行う一連のプロセスをいう。」[vii]とされています。このうち「リスクへの対応とは、リスクの評価を受けて、当該リスクへの適切な対応を選択するプロセスをいう。リスクへの対応に当たっては、評価されたリスクについて、その回避、低減、移転又は受容等、適切な対応を選択する。」[viii]とされています。
つまり②リスクの評価と対応とは、リスクを探し出して評価して、回避、低減、移転又は受容等の対処方針を大まかに決めるということを指します。この対処方針の選択や組合せによりリスクを許容可能な総量内にコントロールします。ポイントは、リスク自体が常に変化しうるものであり、また仮にリスクが同じでも自社が許容できるリスクや各対処方針に係るコストも変化しうることから、リスクの評価と対応は適時に見直す必要がある、ということです。内部統制が静的なものではなく、動的なものであることをおさえておきましょう。
前掲の『概略イメージ』の図では②リスクの評価と対応は、プロセス【3】とプロセス【4】に記載しています。またおさらいとして、リスクへの備えとしての4つの対処方針を再掲します。
(再掲)例:「自動車事故を起こして金銭的損害を負う」というリスクに備えるケース。
受容:何も対策せず自動車を運転する
(損害リスクを許容可能なものとして受容する)
回避:自動車に乗ることをやめて電車に乗る
(リスクを伴う行動自体を中止することで損害リスクを回避する)
移転:自動車保険に加入する
(損害リスクを組織の外部に転嫁する)
低減:自動ブレーキシステムのある自動車を運転する
(損害リスクの発生可能性や影響を低減する)
■③統制活動
『基準』の定義では、
「統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続をいう。統制活動には、権限及び職責の付与、職務の分掌等の広範な方針及び手続が含まれる。このような方針及び手続は、業務のプロセスに組み込まれるべきものであり、組織内の全ての者において遂行されることにより機能するものである。」[ix]とされています。
つまり③統制活動とは、リスクに対応するための具体的なルール(方針・手続)です。②リスクの評価と対応において、対処方針として回避/移転/低減を選択した場合には、内部統制として具体的なルール(方針・手続)を新たに設定し運用するなどの対応が取られますが、それが「③統制活動」に当たります。
具体的にどのようなルールを定めるべきか、会社の社内環境基盤や対象の業務プロセスによって様々ですが、特に『基準』及び『実施基準』で個別に紹介されている手法が、権限及び職責の分担と職務の分掌です(厳密にはそれぞれ違う内容を指しますが、以下、これらを総じて職務分掌と呼びます)。これは要するに、ある業務プロセスのまとまりを一人の担当者で完結できないようにルール(方針・手続)を定めるということです。例えば、「取引の承認、取引の記録、資産の管理に関する職責をそれぞれ別の者に担当させることにより、それぞれの担当者間で適切に相互牽制を働かせる」[x]ことができ、これにより「仕組み」として不正、ミス、業務のブラックボックス化のリスクを低減させることができます。この点は非常に重要ですので、第5章で再度取り上げます。
前掲の『概略イメージ』の図では③統制活動は、プロセス【5】に記載しています。ここが各業務におけるリスクへの対処の本丸と言えます。
■④情報と伝達
『基準』の定義では、
「情報と伝達とは、必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することをいう。組織内の全ての者が各々の職務の遂行に必要とする情報は、適時かつ適切に、識別、把握、処理及び伝達されなければならない。また、必要な情報が伝達されるだけでなく、それが受け手に正しく理解され、その情報を必要とする組織内の全ての者に共有されることが重要である。」[xi]とされています。
「情報と伝達が内部統制の構成要素」と言われても具体的なイメージが持てず、内部統制が非常に抽象的なものに感じてしまうと思います。ただ実際にはたいしたことは言っておらず、要は、必要な情報が必要な時に必要な相手に届く仕組みになっていないと良くないよね、ということを言っているに過ぎません。
具体的には、組織内では統制活動として定めたルールは組織の必要な部署すべてにきちんと周知されないとルールとして機能しませんし(←主にトップダウンの情報の流れ)、何か問題が起きた時にはそれが適切な責任者に報告されて責任者に認識されないと是正措置やリスク評価を正しく行えません(←主にボトムアップの情報の流れ)。また、株主や監督機関など組織外への信頼性のある情報の報告は事業を行う上では不可欠であり(←組織内から組織外への情報の流れ)、不正等の通報も含めて組織外から必要な情報が適切に伝達される仕組みも必要です(←組織外から組織内への情報の流れ)。
このように、情報の適切な流れが担保されていることは、内部統制が有効に運用されるうえでの重要な前提となり、『実施基準』では
「情報と伝達は、内部統制の他の基本的要素を相互に結びつけ、内部統制の有効な運用を可能とする機能を有している。例えば、統制環境において新たな経営方針を策定した場合、この内容が組織の適切な者に伝えられ、その内容が正確に理解されることにより、適時にリスクの評価と対応が行われ、適切な統制活動が実施される。」[xii]
と説明されています。
前掲の『概略イメージ』の図では④情報と伝達は、社内環境基盤を構成するという意味でプロセス【2】に記載していますが、他の基本的要素を支える点は①統制環境と同様です。
■⑤モニタリング
『基準』の定義では、
「モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいう。モニタリングにより、内部統制は常に監視、評価及び是正されることになる。モニタリングには、業務に組み込まれて行われる日常的モニタリング及び業務から独立した視点から実施される独立的評価がある。両者は個別に又は組み合わせて行われる場合がある。」[xiii]とされています。
③統制活動として運用されるルール(方針・手続)は、きちんと遵守されてこそ意味があります。遵守されていることを担保するためには誰かがそれを監視し、もし遵守されていない場合には是正しなければならず、それが⑤モニタリングです。
『基準』では、⑤モニタリングを「日常的モニタリング」と「独立的評価」に分けています。さらに『実施基準』では日常的モニタリングの例示として、「売掛金の管理を行うために、重要な売掛金について、定期又は随時に、適切な管理者等が担当者の行った残高確認の実施過程と発見された差異の分析・修正作業を監視することがある。」[xiv]と説明しています。筆者の理解では、日常的モニタリングは基本的にルール(方針・手続)に基づき実施されるので、それ自体が③統制活動の性質をもっていると考えています。つまり、担当者がミスをしていたりちゃんと手続を実施していなかったりというリスクに対応した③統制活動として、⑥モニタリングを実施しているということです。
独立的評価は「日常的モニタリングでは発見できないような経営上の問題がないかを、別の視点から評価するために定期的又は随時に行われるもの」[xv]であり、経営者、内部監査部門、取締役会、監査役会など、業務を実施している部門の外からの評価を指しています。直接的な利害関係を有しない人が一定の客観性をもってチェックする体制にしておくことで、牽制機能が働くことも期待できます。
また、ルール(方針・手続)が遵守されていて内部統制が有効であると「外部から評価される」ためには、モニタリングは原則として必須です。きちんと組織内で検証されていないものを、組織外から検証して適正と評価するのは非常に困難か、あるいは膨大なコストがかかるからです。
前掲の『概略イメージ』の図では⑤モニタリングは、プロセス【6】に記載しています。内部統制の有効性をチェックするプロセスです。
■⑥ITへの対応
『基準』の定義では、
「ITへの対応とは、組織目標を達成するためにを高度に取り入れている場合等には、内部統制の目的を達成するために不予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適時かつ適切に対応することをいう。ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがIT可欠の要素として、内部統制の有効性に係る判断の規準となる。」[xvi]とされています。
とても難しく説明されていますが、要は「他の①~⑤にもITの要素が含まれることがあり、またはITの利用により①~⑤有効性や効率性を高めることができ、その一方でITの利用に特有のリスク及びリスクへの対応方法があるので特別に⑥として個別に取り上げる」という話と理解するとよいでしょう。
『実施基準』においては、⑥ITへの対応が最も長いページを割いて説明されていますが、この部分だけで本が1冊発売されてしまうような大きなテーマですので、本稿では次の1点だけ強調するにとどめたいと思います。
筆者が考える内部統制におけるITの利用の強みの一つは、ITの利用による「未然に防ぐ」機能です。例えば、想定した回答以外を入力できない設定をシステムに施すことで異常値の入力を物理的に受け付けないとか、権限付与されていない人がシステム上で支払の承認を実行できないとか、ITを利用することにより何か問題が発生することを未然に物理的に遮断することができる場合があります。この点は、第5章で再度取り上げます。
前掲の『概略イメージ』の図では⑥ITへの対応は、社内環境基盤を構成するという意味でプロセス【2】に記載していますが、他の基本的要素を支える点は①統制環境と同様です。
■まとめ
ここまで、内部統制は「リスクに備えて対処」するものであり、具体的にどのようなプロセスを経て整備されるかについて説明してきました。最後に、筆者の解釈する内部統制の定義との関連を確認しておきましょう。
(再掲)
まず筆者は内部統制の目的を、「発生してほしくないことについて①発生リスクを抑えること、②発生を未然に防ぐこと、③発生後にリカバリ可能なうちに事後に正すこと」の3つに分類しました。これまでの説明では「リスクを許容可能な総量内にコントロールする」「リスクを抑える」という言葉を使ってきましたが、それを達成するためには①発生リスクを下げるだけではなく、②物理的に発生を止めてしまうことや③発生してしまったものを適時に検出してリカバリ可能なうちに是正することが有効です。『基準』の6つの基本的要素との対応で言えば、①は6つの全ての基本的要素、②は主に「統制活動」「ITへの対応」、③は主に「統制活動」「モニタリング」に対応するイメージです。
そしてそれらを達成する手段について、筆者は「社内環境基盤と業務の仕組み」として3つの手段を提示しました。具体的には「①ルールが守られやすく組織力を高める社内環境基盤、②適切なルールを作ってそのルールが守られているか見張る仕組み、③ルールから外れた行為ができない又はしにくいよう制御された仕組み」の3つです。『基準』の6つの基本的要素との対応で言えば、①は主に「統制環境」「情報と伝達」、②は主に「リスクの評価と対応」「統制活動」「モニタリング」、③は主に「統制活動」「ITへの対応」に対応するイメージです。
次章では、筆者が考える有用な「社内環境基盤と業務の仕組み」として、どのようなものがあるかを紹介していきます。
■第5章 内部統制とは -特に有用な内部統制-
『基準』は財務報告の信頼性確保のための内部統制に係る枠組みではありますが、そこで説明されている方法論は、それ以外の目的に係る内部統制としても有用なものが多くあります[xvii]。第5章では、そうした色々な場面で有効に活用できると筆者が考える、ある程度の汎用性を備えた内部統制の例を紹介します。
■職務分掌
第4章では、職務分掌について、ある業務プロセスのまとまりを一人の担当者で完結できないようにルール(方針・手続)を定めることと説明しました。これは特に不正防止の観点で重要です。例えば、支払処理の申請と支払処理の承認を一人でできてしまうと、一人の担当者が好きに会社のお金を持ち出せてしまいます。これに加えてさらに取引の記録も同じ人が担当していると、帳簿の改竄をして横領の隠蔽までできてしまいます。これらを別々の担当者に分けるとこで、会社財産への不正なアクセスを仕組みとして予防することができます。
これはなにも従業員をはじめから疑ってかかろうということではありません。むしろ職務分掌の内部統制が不十分である場合には、わざわざ不正のしやすい環境や誘惑を与えて、不必要に従業員に自制の選択肢を迫っているようなものです。そのような個人個人の精神力に責任を押し付けず、仕組みとしてリスクを減らすことこそ内部統制の真骨頂です。
支払処理に限らず、債権管理、棚卸資産などの現物資産管理、金融資産管理、社印管理などにおいても職務分掌の考え方が重要になると考えます。
また、職務分掌にはもう一つの効果があります。それは、業務のブラックボックス化の推進と防止です。推進と防止とは真逆の話ですが誤記ではありません。まず前者について、職務分掌とは分業化でもあるため、業務プロセスの全体像を把握できる人がいなくなってしまい、「業務プロセスの全体像のブラックボックス化」が推進される可能性があります。その結果、全体最適を目指した業務プロセスの見直しをする/できる人がいなくなってしまうリスクがあります。一方で、逆に職務分掌が乏しい場合には業務プロセスのまとまりを一人で担当しているため、担当者以外にその業務プロセスを理解している人がいないという状況に陥りがちです。職務分掌によって、一つの業務プロセスを複数人が緩く共有しながら扱うため、「業務プロセス内部のブラックボックス化」を防止する効果があります。職務分掌を考える上では、これらの点に留意しながら補完的な施策を考えるとよいでしょう。
■人事ローテーション
職務分掌が一時点での分業であるのに対し、似た効果をもたらすのが時点間での分業である人事ローテーションです。定期的に人事ローテーションをする仕組みをルールとして導入することで、取引先との癒着の予防、社内の権力関係の刷新、業務マニュアル整備の誘因、といった効果が期待でき、結果的に職務分掌と同様に不正防止や業務のブラックボックス化防止につながると考えられます。
職務分掌は無理やり規定化しなくても一度制度設計されるとある程度仕組みとして自然に織り込まれますが、定期的な人事ローテーションは何のルールも設定しない状態では安定的な仕組みとしての運用は難しいかもしれません。内部統制として仕組み化するために、人事部門の配置に係る内規等で5年以上の同一業務継続は原則避けるなど一定のルール化はあってよいと思いますし、特にリスクの高い購買部門や資金取り扱い部門は、もっと厳密な運用もあり得ます。リスクの高低、職務分掌、人事ローテーション、3つのバランスでより良い制度設計をしていけばよいのではないかと考えます。
■ITを利用したリスク発現の未然防止
ITの利用による有効かつ効率的な内部統制の構築については『実施基準』にも例示されていますが、筆者が特に強調したいのは、第4章で触れたITの利用による「未然に防ぐ」機能です。
前述した職務分掌についても、情報システム上でユーザーIDごとに異なる権限付与をし、物理的に権限外の入力ができないようにすることで、職務分掌の運用が確実なものになります。例えば、担当者が支払申請し、課長が支払承認して初めて情報システムが支払の実行処理を銀行に送信する仕組みになっていても、課長が支払申請の権限も支払承認の権限も持っているとすれば職務分掌は絵にかいた餅になっているわけです。したがって、職務分掌はITを利用した内部統制により適切な権限付与とセットで行うことが必要になります。
ユーザーIDごとに正しく権限付与[xviii]して物理的にリスクの発現を未然防止することは、支払業務以外にも、販売、出荷、稟議承認など、業務決裁一般に適用できます。
また、権限外の行為を防ぐこと以外にも、単純なミスによるルール外の入力を防ぐことにもITの利用が有効です。入力時点でエラーチェックをかけておくことで、未然に防止することができます。
筆者が入力制御の話で最も想起するのが「ジェイコム株大量誤発注事件」です。みずほ証券の担当者が株式の売り注文を「1株61万円」とするところ誤って「61万株1円」と入力したことに起因する事件です。注文送信時にアラートは出たものの無視してしまった、東証のシステムに注文取消が受け付けられないバグがあった、など複合要因が重なった結果、売買が成立して実際に大金が動いてしまう事件となりました。アラートが出たとはいえ、そもそもそのような異常入力が物理的に受け付けられてしまう仕組み自体に問題があり、このようなヒューマンエラーもIT側の制御により未然に防ぐ工夫が必要です。事件について知らない方は検索して調べてみてください。
■内部通報制度
『基準』における内部統制の基本的要素の1つである「情報と伝達」の具体論として、『実施基準』において内部通報制度が以下のように説明されています[xix]。
「組織においては、通常の伝達経路ではないものの、組織の情報と伝達及びモニタリングの仕組みの一つとして、内部通報制度を設ける場合がある。内部通報制度は、法令等の遵守等をはじめとする問題について、組織の全ての構成員から、経営者、取締役会、監査役等、場合によっては弁護士等の外部の窓口に直接、情報を伝達できるようにするものである。内部通報制度を導入する場合、経営者は、内部通報制度を有効に機能させるために、通報者を保護する仕組みを整備するとともに、必要な是正措置等を取るための方針及び手続を整備することが重要である。また、組織外部の者から内部統制に関する情報が提供されることもあることから、こうした情報が寄せられた場合にどのように対応するかについての方針及び手続を定めておくことが重要である。」
内部通報制度は、権力関係や指揮命令系統を超えてリスクを抑制する数少ない内部統制の1つであり、フェアな内部通報制度が存在するということ自体が非常に強い牽制機能を持ちえます。一方で、内部通報制度は「通報しても解決に結びつかなかった」とか「上司に情報共有されて報復にあった」といった噂が出回るだけで途端に牽制機能も実行力も失われますので、内部通報制度がフェアで実効性があることをきちんと手当てしたうえでそれをきちんと周知することが不可欠です。
■統制環境
統制環境の改善は必ずしも「内部統制を改善しよう」という文脈で着手されることではなく、またボトムアップを中心に改善を図ることは著しく難しいことではあります。ただ、良い統制環境こそが百薬の長だと考えます(もちろん統制環境さえよければうまくいくということではなく、東洋医学でいう体質改善のイメージです)。
筆者が会社員生活で感じる身近な例として、「経営陣が社員に好かれている」というのが重要な内部統制(統制環境)なのだと思う場面が多いです。経営陣が社員に好かれていると、管理部門が事業部門に「経営陣がこういうことを考えていて、協力してほしい」とお願いする際、前向きに協力してくれるようになります。また、経理職を長年やっていて、事業部門と管理部門の仲の良さ、言い換えればお互いにリスペクトがあるかどうかは、適切に相互に情報が流れるかどうかに大きく関係してきている実感があり、これも重要な内部統制(統制環境)だと思います。
■人材戦略
最後に、少し変わった切り口を紹介しようと思います。
内部統制というと、"誰でも同じような成果がでるような仕組み(=やるのが誰であっても関係無い)"ということを連想しがちで、優秀なプレーヤーの力に頼ることを"属人化"と悪く言われることもあります。しかしながら、筆者は必ずしもそういうことではないと考えています。
例えば、優秀なプレーヤーを維持する仕組み(採用・リテンション)の構築・維持のほうに注力することも内部統制の一つのあり方ではないかと考えています。業務プロセスにおいて生じるリスクを
①誰にやらせるか×②どうやらせるか
の掛け算で考えると、想定されるリスクを抑えるためには①か②のいずれかまたは両方にアプローチできるはずです。『チェックリストでリスクが見える内部統制構築ガイド』でも「リスクが高い業務には(コストがかかっても)そのリスクに見合った従業員を配置する」[xx]ことの重要性が指摘されています。内部統制=ルールでガチガチに縛るものという先入観があると見落とされがちな視点であるため、ここで紹介しておきます。
■第6章 内部統制とは -内部統制の限界-
筆者は本稿第1章で内部統制を「事業活動の目的が達成できないリスクに備えて対処するための社内環境基盤と業務の仕組み」と定義しました。しかしながら内部統制があったからといって「発生してほしくないことが100%絶対に防止できる」わけではありません。
この点について『実施基準』では
「内部統制の限界とは、適切に整備され、運用されている内部統制であっても、内部統制が本来有する制約のため有効に機能しなくなることがあり、内部統制の目的を常に完全に達成するものとはならない場合があることをいう。」[xxi]
と解説されています。その「内部統制が本来有する制約」4つについて、『基準』がわかりやすく説明しているのでそのまま引用します[xxii]。
(1) 内部統制は、判断の誤り、不注意、複数の担当者による共謀によって有効に機能しなくなる場合がある。
→(筆者注)いくらルール(方針・手続)を定めても、判断の誤りや不注意を完全に防ぐことはできないので、内部統制があってもリスクをつぶすためのルール(方針・手続)に沿った行動が行われることを100%保証することは通常できません。また、職務分掌を実施したとしても、分離された職務の担当者同士が共謀すれば、2人で内部統制の壁を突破して不正を行うことが可能になり得ます。
(2) 内部統制は、当初想定していなかった組織内外の環境の変化や非定型的な取引等には、必ずしも対応しない場合がある。
→(筆者注)簡単な話で、これまで「リスクがさき、内部統制があと」と説明してきました。つまり、新たに発見されたリスクや、リスク自体が変化した場合は、それに合わせて内部統制を整備しなおす必要が生じる可能性があるという話です。小口の10万円程度の取引しかなかった会社が突然1億円のスポット取引を実施することになった場合、生じるリスクは全く異なるものになるため、既存の内部統制で対応できない可能性は高いでしょう。無理に既存の内部統制を当てはめようとした結果、取引の失敗など望まぬ結果が生じるかもしれません。また、それが後にも先にも同種の取引の発生が考えられないという臨時的な取引であれば、わざわざ新たに内部統制を整備することはせず、特別な事象としてその取引のためだけのオーダーメイドのリスクマネジメントを実施することもあり得ると思います。
(3) 内部統制の整備及び運用に際しては、費用と便益との比較衡量が求められる。
→(筆者注)この点については第3章でも触れましたが、内部統制としてルール(方針・手続)を増やすほどその運用に係る対応コストは増加するため、対応コストと「リスクをコントロールできるメリット」を比較して内部統制を整備することになります。そのため、全てのリスクについて遍く内部統制を整備して対応することはできないということを言っています。
(4) 経営者が不当な目的の為に内部統制を無視又は無効ならしめることがある。
→(筆者注)内部統制として業務の仕組みが整備されたとしても、経営者あるいは部門長などの責任者が、「ルールを破ってもいいから私の言う通りにせよ」と指示した場合に、下位職位の人がそれに逆らえずにルール(方針・手続)から逸脱した対応を迫られることがあり得るという話です。
以上のように、内部統制は絶対的にリスクを排除できる仕組みではありません。だからといって内部統制は無くてもいいものだということではなく、合理的な範囲で事業活動の目的の達成を阻害するリスクを抑える仕組みとして、会社の組織的運営には絶対に必要な仕組みであると筆者は確信しています。内部統制の限界を知ったうえでうまく使っていく工夫をしていきましょう。
■第7章 内部統制とは -制度対応の鳥瞰図-
第7章では、内部統制と内部統制報告制度との関係、会社法における内部統制の位置づけと金商法における内部統制の位置づけの違い、監査役監査と監査法人による内部統制監査、などの制度対応における全体感について解説する予定でしたが、既に風呂敷を広げ過ぎていることと、初心者の敷居をむしろ上げてしまうように感じたことから、別の機会に譲ることとします。
ただ、1点強調しておきたいのは、「リスクがさき、内部統制があと、内部統制報告制度がさらにそのあと」ということです。内部統制報告制度が導入されて以降、この制度の対応のためにどのように内部統制(の体制)を整備すればよいかという視点ばかりに関心が集まってしまっているように感じます。そのような考え方は「法制度対応のために過剰な手間をかけずに必要十分な労力をかける」という観点からは必ずしも誤りではないと思いますし、結果的に本来必要であった内部統制が制度対応を推進力に整備されるということもあると思います。ただ本来は順番が逆で、内部統制報告制度はあくまで「内部統制が整備されていてうまく回っていますよ」ということを外部に示すために自己チェック・第三者チェックをするという話であって、内部統制そのものが先にあるべきです。
本稿では、あえて内部統制報告制度の話を極力抑えて内部統制そのものの話を書いてきましたが、これは内部統制に係る導入教育はそうあるべきだと筆者が考えているためです。筆者はすでに内部統制報告制度が導入された後に経理実務に関与し始めたため、内部統制と言えば「外部からの評価を受けるために文書の整理や点検をする業務」という「やらされ仕事」の印象でした。これまで述べてきたように、内部統制は本来非常に有用なフレームワークであるため、入門者に昔の筆者と同じように感じさせてしまうのはもったいないと感じています。本稿が、入門者の方の内部統制についてのイメージや捉え方が変わるきっかけなれば幸いです。
■第8章 内部統制とは -属人化・精神論を排した仕組み-
最後に、内部統制というものをもっと身近なものとして考えようという話をしたいと思います。
筆者の内部統制との出会いは、以下のようなものでした。
新入社員のとき押しちゃいけないとされるボタンを押してしまい原価計算が異常終了。関係部署に謝罪していたら、上司は笑いながら「押しちゃいけないボタンが押せるようになっていることが問題、押したあなたではなく内部統制構築の問題」という趣旨のことを言った。これが私と内部統制との出会い。
— blanco (@amor_tizacion) January 22, 2024
内部統制の精神とは、換言すれば「罪を憎んで人を憎まず」ならぬ「仕組みを憎んで人を憎まず」の発想であり、組織の中で通常生じる失敗や誤りを個人の過ちに矮小化せず、組織の仕組みとして解決しようというものだと考えています。
一般的に、何か問題が発生した時には、始末書やレポートのなかで再発防止策が求められます。
最悪なのは
原因:〇〇がミスをした。
対策:〇〇を教育してわからせた。
という属人的な対応と、
原因:うっかりした(注意不足)
対策:しっかりする(注意する)
という精神論的な対応です。
これらは、担当者に責任を押し付けているだけで、組織として、再現性の高い仕組みで問題の発生を防ぐことに繋がりません。そこで内部統制の出番です。社内環境基盤や業務の仕組みを整備して、より再現性の高い方法でリスクを低減していきましょう。
ただ筆者が、問題があると感じている点は、「内部統制」という言葉を使うと途端に相当高い精度が求められるようになっている点です。内部統制というと、モニタリングは必須だし、ルールは文書化して整理されていないといけないし、と考えている人が大半だと思います。これは内部統制報告制度の影響も大きいと思いますが、「内部統制」を整備しているといったときには、体感的には95%~99.9%くらいの精度が求められているように感じます。しかしながら、本来の内部統制は費用対効果も考えてリスクを「許容可能な範囲」に抑えるためのものであって、個々のプロセスの精度を95%~99.9%で行うためのものではないと筆者は考えています(これは定義の問題なので、合っている/間違っているというものではありませんが)。
■「ゆる内部統制」
そこで、「リスクを許容可能な範囲に抑えるために、それなりに属人化・精神論を排した一定程度再現性のある仕組み化」を「ゆる内部統制」と名付け、読者の皆さんとシェアしたいと思います。
要は、「内部統制」と胸を張って言うには心許ないものの、業務プロセスの中に埋め込まれて問題の発生リスクを自然に抑制するような仕組みです(筆者はそれも内部統制と言って差し支えないと思っていますが、どうしても「内部統制報告制度対応上のあるべき内部統制」を想起させてしまうため別の用語を設定します)。
「ゆる内部統制」では特に、その統制自体が有効に機能しているかをモニタリングしたり、その統制自体を明文化・文書化したりする点が、場合によって省略されます。運用を盤石にしたいなら省かず実施しますが、それらを必須のものとは考えません。そのため、その仕組み自体が維持されずに突然無くなったり運用されなくなったりするリスクはそれなりにある、つまり継続性の担保度合いが弱くなります。ただ、仕組みが全く無いより「ゆる内部統制」があるほうがよっぽどマシだと思いますし、モニタリング・明文化・文書化の省略で運用コストは大幅に小さくなります。
一方で、これまで学んできた内部統制の「阻害リスクを評価し、リスク受容・回避・移転・低減の方針を定め、具体的なルール(方針・手続)やプロセスを仕組み化する」という考え方は「ゆる内部統制」でも共通です。むしろ担当者が日常業務を行う上では、その考え方こそが重要であり、繰り返しになりますが、費用対効果を十分に考慮しつつも極力「再現性のある仕組み」で対処することが内部統制の本質だと考えます。言い方を変えれば、内部統制の精神や考え方をもっと色々な業務に適用しよう、という試みです。
それではいくつか例を紹介します。
■回覧物に表紙をつくる
経理業務として、月次または四半期決算業務の中で、費用配賦の伝票を作成して上位者に検証の回覧をして承認をもらう業務プロセスがあると思います。そこでひと手間、筆者が実施していたのがこの「ゆる内部統制」です。
簡単なことではあるのですが、回覧物の表紙を作り、費用配賦の考え方の要点、作成担当者が事前に検証すべきポイントとチェックマーク記入欄を書き込んでおきます。これにより、担当者がこの表紙を印刷して回覧資料に添付する際、事前検証すべきポイントを目にして自己点検することを促すことができます。また、作成担当者や検証担当者が異動により交代となった場合にも、詳細なマニュアルを見に行かずとも回覧時にこの表紙により要点を掴むことができます。
以上により、作成担当者が杜撰な資料を作ったり、上位者がよく理解しないまま承認したりするリスクを仕組みとして低減することができます。この「ゆる内部統制」のポイントは、添付する表紙に捺印欄を作っておくことです。これにより、それなりの確率でこの表紙が漏れなく印刷・添付のうえで回覧されると思われ、継続性も一定程度担保されます[xxiii]。
■作業プロセス内に知見(指示、経緯)を残す
通常、経理業務は定型化されたものの比率が多く、業務マニュアルを作成して次の担当者に引き継ぐということがよく行われると思います。この運用には、何でも業務マニュアルに残そうとしてどんどんマニュアル作成や更新の負荷が高くなり非効率となるリスクや、業務マニュアルが適時に参照されずに業務にミスが生じるリスクがあります。
このリスクを低減するために、作業プロセス内に指示や経緯といった知見を残す「ゆる内部統制」を提案します。これは、作業プロセス内=作業ファイル内や作業フォルダ内に、置き手紙のように指示や経緯を書き込んでいくことで、業務マニュアルを参照しなくとも作業をする中で自然に必要な情報が目に入る(手に入る)ようにするということです。業務マニュアル作成の手間も減らせるし、マニュアルをあまり参照せず業務を進める人も見落としが減ります。
「作業フォルダ内に、置き手紙のように指示や経緯を書き込んでいく」を具体的にどのように実践しているかは、以下のツイートを参照してください。
業務効率化のためのフォルダ整理術
— blanco (@amor_tizacion) September 18, 2020
(その1)
■根本思想(楽しく、ストレスなく会社の仕事を組織的に回すために必要な精神)
① 経緯を残す
…メールなどをそのまま保存等。
② 見てわかるように残す
…ファイルを開かなくても内容わかるようにする。
③ やりながら残す
…整理は事後にしない。
この「ゆる内部統制」の課題は、運用の継続性の担保です。組織内で「経緯を残すことって大事だよね」というコンセンサスがなければ、単に「〇〇さんは性格が細かいのできちんと資料を残している」という話で一時的な運用で終わってしまいます。どこまで指示や経緯を残すかは程度問題であり一律の答えを明文化するのが難しいため、ルール化してモニタリングするという内部統制的な対応は向いていないと思います(おそらくチーム内でケンカになるか、より適当な人に引っ張られてなあなあになります)。そのため、ギチギチの管理にはせず、このような文化・価値観を啓蒙し教育していくこととセットで運用していくことが良いと考えます。その結果、「10人のうち6人でも7人でも作業プロセス内に知見(指示、経緯)を残すことに賛同して実施してくれれば、全体として業務品質は向上するじゃないか」という発想で徐々に統制環境を変えていくことを目指します。
いいじゃないか「ゆる内部統制」だもの
という発想です。
いかがでしょうか。前線の経理実務家としては、経理担当者には業務上のミスがなるべく「仕組みとして」減るように常に考えながら業務をしてほしいと思っています。そこで、リスク評価とリスク対応→業務オペレーションに対策を織込み、という内部統制の思考法を身につけてほしいという想いから「ゆる内部統制」を紹介しました。少しでも納得感があったのであれば幸いです。
■あとがき
大変な長文をここまでお読みいただきありがとうございました。
内部統制を内部統制報告制度の呪縛から解放して説明することで、内部統制の本質を理解して業務に活かしてほしい!との想いで本稿を書き始めましたが、実務経験が不足しており、この分野のプロフェッショナルが持つコモンセンスがないこともあって、予想以上に自分なりの論理の構築に苦労してしまいました。
本当は、実務経験が少ない分、参考文献ももっと増やして隅々まで完読したうえで書きたかったのですが、時間の制約もあり、生煮えの原稿ですがいったん「試論」として公開しようと思います。特に、実務経験不足から頓珍漢なことを言っている部分があれば指摘いただけると大変ありがたいです。公開後にいただいた反応などを受けてさらに勉強し、試論を外した完成版を同人誌シリーズ3冊目の一部にできればと妄想していますが、力尽きていますので当面妄想のままになりそうです。
それでは、素敵なクリスマスをお過ごしください。
2024年12月22日 blanco
(追記:2024/12/30 07:00)
投稿から1週間、次のような通知がありました。
通知が出た時点でのビューは6,744で、完読された方はこの一部だと思います。そのため、どう考えても「もっとも」ではないのですが笑、たくさんの方に読んでいただけたことが大変ありがたいです。プロフェッショナルの方からもご感想をいただき、気づきと活力になりました。それらを活かして発展させた次の原稿を出せるように頑張ります。
ありがとうございました( ̄^ ̄)ゞ
(追記終わり:2024/12/30 07:00)追記
■参考文献
■浅野 雅文(2024)『今から始める・見直す 内部統制の仕組みと実務がわかる本<第2版>』中央経済社。
■菅 信浩(2023)『チェックリストでリスクが見える内部統制構築ガイド』中央経済社。
■中村 元彦(2020)『中小上場会社の内部統制 -実務上の課題と提言-』同文館出版。
■企業会計審議会(2023)『財務報告に係る内部統制の評価及び監査の基準』
企業会計審議会(2023)『財務報告に係る内部統制の評価及び監査に関する実施基準』
https://www.fsa.go.jp/singi/singi_kigyou/kijun/20230407_naibutousei_kansa.pdf
(アクセス日:2024年11月23日)
■COSO(2013)『Internal Control - Integrated Framework Executive Summary』
https://www.coso.org/_files/ugd/3059fc_1df7d5dd38074006bce8fdf621a942cf.pdf
(アクセス日:2024年11月30日)
[i] 『財務報告に係る内部統制の評価及び監査の基準』P2。
[ii] 『財務報告に係る内部統制の評価及び監査に関する実施基準』P33。
[iii] リスクに対処しよう、内部統制を整備しよう、と意識せずとも、業務目的の達成のため、あるいは事業活動をする中で自然と社内環境基盤や業務の仕組みが形成され、それが結果的にリスク低減等に寄与していることはよくあります。ただ、あえて何らかの内部統制として社内環境基盤や業務の仕組みを整備しようとするときには、整備のための整備というように整備自体が目的とならないようにあくまでリスクの有無や高低を先に検討すべきと考えます。
[iv] 『財務報告に係る内部統制の評価及び監査の基準』P3。
[v] 『財務報告に係る内部統制の評価及び監査に関する実施基準』P31。
[vi] 同上。
[vii] 『財務報告に係る内部統制の評価及び監査の基準』P4。
[viii] 同上。
[ix] 『財務報告に係る内部統制の評価及び監査の基準』P4-5。
[x] 『財務報告に係る内部統制の評価及び監査に関する実施基準』P36。
[xi] 『財務報告に係る内部統制の評価及び監査の基準』P5。
[xii]『財務報告に係る内部統制の評価及び監査に関する実施基準』P38。
[xiii] 『財務報告に係る内部統制の評価及び監査の基準』P6。
[xiv] 『財務報告に係る内部統制の評価及び監査に関する実施基準』P39。
[xv] 同上。
[xvi] 『財務報告に係る内部統制の評価及び監査の基準』P7。
[xvii] 『実施基準』P30に「財務報告は、組織の業務全体に係る財務情報を集約したものであり、組織の業務全体と密接不可分の関係にある。したがって、経営者が財務報告に係る内部統制を有効かつ効率的に構築しようとする場合には、目的相互間の関連性を理解した上で、内部統制を整備し、運用することが望まれる。」とあるように、事業活動そのものに問題が起きると財務報告の作成プロセスにも問題が生じることが多く、『基準』・『実施基準』の総論部分と言える「内部統制の基本的枠組み」で扱われている内容は、厳密に財務報告に焦点を絞ったものというよりは、もっと広い視点で記載されていると考えられます。
[xviii] 権限付与の工程自体も、申請部門とは別に情報システム部門が行う等、職務分掌することが重要です。
[xix] 『財務報告に係る内部統制の評価及び監査に関する実施基準』P38。
[xx] 『チェックリストでリスクが見える内部統制構築ガイド』P13。
[xxi] 『財務報告に係る内部統制の評価及び監査に関する実施基準』P47。
[xxii] 『財務報告に係る内部統制の評価及び監査の基準』P8。
[xxiii] ただ、その後コロナ禍で電子回覧が社内に普及したため、現在もこの運用が生きているのかは不明です(涙)。もし移行時の担当者が気を利かせて、電子回覧の表書きに同じ内容をコピー&ペーストしていれば、その後も同種の「ゆる内部統制」が継続しているかもしれません。
■PR
▼ 経理での経験から後輩に身につけてほしいExcel周りのニッチな知見についての同人誌を執筆しました。
▼ 経理としてお勤めの方で説明文をお読みいただきご関心を持たれた方はぜひ!(ニッチな内容なので万人に刺さるものではありません)
▼ KindleUnlimitedなら無料。
※Amazonのアソシエイトとしてblancoは適格販売により収入を得ています。