" 発生事実(不祥事) " が発生しない上場会社の内部監査 Part. 07 - 社内資料が会社の命運を分ける -
上場会社での発生事実(不祥事/不正行為)が跡を絶たない昨今、内部監査はその責務を果たすため、どのようにしたら良いでしょうか。
直近事例を参考に、内部監査が実践できる社内資料に関する監査等の実務をご紹介します。
今回ご紹介する直近事例のリリースは少々特殊ですが、その内容は、内部監査として見逃せない貴重な事例となります。なぜなら、事案の内容としてはよくあるパターンだからです。その「よくあるパターン」を放置してしまうと、のちに " 会社存亡の危機 " に発展する可能性があるのです。
今回の直近事例のポイントは、
社内資料の保存・保管管理のルールが存在したのか?
内部監査は社内資料の存在を、すべて把握していたのか?
社内資料の保存・保管の悪さが " 会社存亡の危機 " に発展する?
これらを、内部監査の目線で考えていきます。
直近事例から - 概要説明 -
今回の直近事例は、当の会社としては極めて芳しくない内容となっています。リリースの表題は「第三者委員会の委員の退任について」です。
ただし、今回このリリースを取りあげて社内資料に関する説明をする意図は、第三者委員会の委員の退任自体を問題視したいのではなく、この退任の原因となった理由のひとつが社内資料に関することであり、内部監査にとって大変重要なポイントだからです。
事案の内容を確認してみましょう。
【事案の概要】
この直近事例で重要なことは、
会社内部に残存する資料が少ないこと
その残存している資料自体の資料入手についても困難を伴っていること
それら「会社内部に残存する資料」を会社が提出できないこと
この3点が重要なポイントです。
なぜ重要なポイントかというと、この第三者委員会が言っている「会社内部に残存する資料が少なく、(中略)その情報収集・資料入手に困難を伴っている」という点は、内部統制上で整備状況が不備であり、さらにコンプライアンスの面でも法令遵守していない状態であることが明白なことから、最悪の場合、会社として抜本的な組織、制度等の改革とその完全実施が必要となるからです。
上場会社に限らず、どの会社も、内部資料を保管する義務を負っています。その義務の根拠は、それぞれの業務に関係する法令です。例えば、人事関連の資料であれば労働基準法等、経理・会計関連の資料であれば法人税法等を根拠としています。
会社の内部資料の保管年限は、内部監査として把握する必要のある内容ですので、単に文書管理規程等で定めている保管年限だけを把握・理解するだけでなく、その根拠となる各法令をご確認ください。理由は、各税法の法改正の頻度が高いのと、電子帳簿保存法(電子計算機を使用して作成する国税関係帳簿書類の保存方法等の特例に関する法律)との関連が深いためです。ですから、この「会社内部に残存する資料が少ないこと」は、当該会社のコンプライアンス意識の問題となり、これ自体が「会社の命運」分けることになりかねないのです。
それでは、会社がこのような危機に遭わないようにするために、内部監査はどのようにしたら良いでしょうか。
【内部監査ができること】社内資料をすべて把握する。
以前の記事「" 発生事実(不祥事) " が発生しない上場会社の内部監査 Part. 06 - クロス監査で抜け漏れ/取りこぼし防止 -」でご紹介しましたが、内部統制と内部監査で最初に取り掛かることは、社内における全業務の全容を明らかにすることです。内部統制ではいわゆる3点セットに「業務フロー」と「業務記述書」を作成して業務の流れ、担当/責任者の所在と責任分担、流通する書面等を明らかにします。内部監査でも同様に、業務監査によって業務の実態を明らかにする等を行います。つまり内部統制も内部監査も、社内における全業務の全容を明らかにすることにって、会社の業務の有効性、報告の信頼性、ガバナンス・プロセス、リスク・マネジメントおよびコントロールの妥当性と有効性を評価するために実施しています。目指す方向(目的ではなく)、やることは一緒です。
特に3点セットの「業務記述書」を作成する段階では、各業務の作業過程でどのような社内資料を作成し、その社内資料の確認/承認は誰が行うのかを明らかにします。じつはこの「業務記述書」を作成する段階で、全業務の全容と同時に社内資料の全部を明らかにする必要があるのです。IPO準備の際の失敗例として多いケースは、業務記述書に記載する社内資料(のちに内部統制評価監査の際の証憑となるもの)は、保管年限の対象となる資料だけにとどめている例や、売上高や原価、販管費に直結する社内資料だけにとどめている例などがあります。
しかし、法令では次のように定めています。
特に第67条第1項の一に注目してください。「相手方から受け取った注文書、契約書、送り状、領収書、見積書その他これらに準ずる書類及び自己の作成したこれらの書類でその写しのあるものはその写し」とあります。これらを皆さんの会社で流通している社内資料に当てはめると、かなりの量になるのではないでしょうか。それに、この条文のポイントは、「準ずる書類」と「写し」です。「契約書だから保管する」と考えたとき、その契約の締結に至るまでの営業資料や契約条件の交渉経緯のわかるエビデンス等は保存・保管しているでしょうか。もちろんこれらは「準ずる書類」に該当しますので、保管しなければならないものたちです。万一、契約上の争いがあった場合、その契約書の契約条件が争いのポイントとなったときは、契約条件が設定された経緯とそのエビデンスの有無が、争いの命運を分けることになるでしょう。いつそのような争いが起きるかわかりませんので、「準ずる書類」の保管を忘れずに行うことをお勧めします。
さて話は変わりますが、内部監査は社内資料の全部を把握し、理解する必要があります。また、それができる立場です。逆に言えば、内部監査が社内資料の全部を把握せず、理解しないまま内部監査を実施することは避けていただきたいです。内部監査に規程上「守秘義務」が設定されていますので、内部監査の職務として社内の機密情報に接することは、何ら問題ありません。内部監査の職責として社内資料の全部を把握し、理解する責任があるとも言えます。
内部監査は、社内資料の全部を把握し、理解したうえで、内部監査にあたること。その社内資料を証憑として入手し、その資料の内容について関係者からヒアリング(傾聴)して、社内のあらゆる業務が適正かつ有効に遂行されていることを証明すること。これらが内部監査の大きな目的なのです(参照:内部監査基準・一般社団法人日本内部監査協会)。
かなり難しい立場になるかもしれませんが、これが内部監査の職責であり内部監査の大きな目的があることを念頭に置いて、社内資料の全部ついて把握と理解に努めてください
【内部監査ができること】社内資料の保管・廃棄ルールに注意
さきほどご紹介したとおり、社内資料には保管年限があります。皆さんの会社においては「文書管理規程」の定めに従い、必要であれば保管に関する部門業務マニュアルを作って、これを守っていることと思います。
この文書管理規程や業務マニュアルで、多くの会社で「よくある傾向」を見受けます。それは、保管に関することについての厳しい/数多めのルールを定めているのですが、廃棄に関することについてのルールが粗い傾向にあるのです。ちなみに、Pマーク(JIS Q 15001)やISMS認証企業では、廃棄に関するルールを詳細に定め、その業務処理状況のエビデンス(記録)を保存・保管しています。しかし、認証企業以外の会社では、廃棄に関するルールに「(書面の場合)破砕、溶解。(記録媒体の場合)物理的破壊、専門業者にてデータ消去後に廃棄」という表現となっていても、シュレッダー(破砕)すべき書類、外部の廃棄業者によって溶解処理すべき書類まで決めていないことが多いです。
ここで皆さんに改めて確認していただきたいのは「なぜ社内資料を保管する義務があり、廃棄の手順を定めなければならないのか?」です。単に法律によって義務付けられているから、ではありません。例としては、会社のリスク管理の観点で情報漏洩リスクがあるとか、経理・税務業務上で適時・適切な方法で取り出して利用することができるなどが挙げられます。これらはPマーク/ISMS認証企業では、社内資料の保存・保管ルールで詳細に定めています。しかしその詳細ルールは、認証維持のためだけではないことをご理解ください。
さて、内部監査は社内資料の保管管理・廃棄ルール遵守状況を監査する必要があります。先のPマーク、ISMS認証企業ではそれぞれその認証の取得・継続のために内部監査員による内部監査を実施していますが、私たち内部監査は、その認証のためだけでなく、会社の経営・事業の観点から業務監査を実施する必要があります。そのためには、社内資料の保管管理・廃棄ルール遵守状況を監査することはもとより、そもそもそのルール自体が法令、所在地の地方公共団体の条例・規則、業界団体等のガイドラインなどを遵守しているのかも確認する必要があります。地方公共団体の条例、規則については、その地域によって内容が様々であり、また社会状況に対応するかたちで不定期に改正されることもあります。内部監査はこれらも踏まえて内部監査を実施する必要がありますので、事前の調査実施を忘れないでください。
また廃棄の手順については、特に機密情報等の記載がある文書や記録媒体、パソコンの廃棄に関するものはご注意ください。よくある事例として、廃棄する担当者の考え方によって規程・業務マニュアルの遵守状況が変わってしまうことがあることです。
「セキュリティ意識高め」の担当者は、規程や業務マニュアルの定めている作業手順より高度なことを行う傾向があります(例:定めでは「文書はシュレッダー等による破砕」としているが、機密情報のレベルによって、レベル高めの情報が記載されている文書については「廃棄業者による溶解」を行う)。この「セキュリティ意識高め」はけっして悪いことではありません。しかし、この廃棄に関するルールを定めた当時、何らかの意図があって「文書はシュレッダー等による破砕」と定めているハズです。その意図を理解しないまま「レベル高めの情報が記載されている(または思われる)文書については、すべて外部の廃棄業者による溶解」を行なったとき、それは廃棄ルールの手順に " 例外事例 " を作ってしまっており、その廃棄ルールの手順を複雑化(単純化の逆の意味で)、難易化させてしまい、ひいては会社全体の業務効率を下げている結果になり得るのです。
内部監査は、社内のあらゆる業務が適正かつ有効に遂行されていることを証明する業務(アシュアランス業務)と並行して、社内のあらゆる業務が効率的かつ効果的に遂行されていること、その効率的かつ効果的な業務遂行がひいては会社の価値向上につながるよう助言する業務(コンサルティング業務)を行う職務があります。もし、皆さんの会社の廃棄ルールが粗めのときは、そのルールを細かく定め直すか、特定の廃棄業者を選定し一括して委託する作業手順にするようなお勧めをするのがよいかもしれません。
内部監査の監査テーマは無制限・膨大!
内部監査は、年間監査計画書を策定します。このとき、監査テーマはどのようなものを挙げていますか?会社の事業計画に合わせた監査テーマを挙げることが多いと思いますが、上の例のように、普段の何気ない業務、作業についても抜け漏れなく監査を行なってください。これは、例えば上の例のように廃棄についてであれば、廃棄ルールの手順どおりに行われているか?だけでなく、コンプライアンス(地方公共団体の条例への遵守状況、保管すべき資料の保管状況)、リスク管理(機密情報・個人情報の漏洩)、内部統制(整備/運用状況の確認)など、多面的な観点で監査する必要が出てきます。ただし、その多面的な観点で監査を行おうとすれば、監査項目が増え、ヒアリング等で質問項目が増えますので、この監査にかかる時間と労力は大幅に増え、内部監査にとっても被監査部門にとっても大きな負担となるのです。ただし、内部監査にとってこれは職責です。まずは、負担増や効率のことは脇に置き、リスク発生や重大な不備とならないように抑止・防止のために監査計画を策定しましょう。できる限り、被監査部門への負担増にならないように注意しましょう。
このコンプライアンス、リスク管理、内部統制の観点で行う内部監査の監査は、できれば隔年でも良いので定例監査として計画すること、定点観測することをお勧めします。例えばリスク管理の観点であれば、毎年内部監査が監査を行うのではなく、リスク管理委員会や部門側で内部的に監査する「インサイド監査」を毎年行い、内部監査を隔年に行うことも有効です。この1線(部門側)と3線(内部監査)によって多面的な観点で監査を行うことにより、会社として本来の目的である企業価値の向上、リスク低減等による企業存続と上場維持を達成することができますし、高い効果を得られます。社内の監査すべてを内部監査だけが行うのではなく、部門や委員会がインサイド監査として分担することも非常に有効な監査の方法なのです。
このような監査の方法は、他にもたくさん考えられます。皆さんの会社に合わせた監査の方法を検討し、ぜひ「The 我が社の監査」を構築することができたら最高です。
今回は、社内資料についてご紹介しました。
社内資料を保存・保管管理するルールを作り、これを役員、従業員等に義務付けるだけでは、心細いこともあります。従業員等には社内教育等で、社内資料の重要性と保存・保管管理ルールの業務への定着等を十分に説明し、役員には法令遵守の徹底を行なっていただく。ついては会社全体にコンプライアンスへの意識を高めて、これを「我が社のカルチャー」として根付かせ、これらを踏まえて内部監査を行なって、監査結果を「社内の業務は適正かつ妥当であることを認めます」としたいです。
今回の直近事例をぜひ参考にして、会社を強くし、企業価値の向上を図りましょう!
この記事が気に入ったらサポートをしてみませんか?