平成26年9月30日
8.内部統制について考えてみませんか?③ -残る5つの要素-
(2)リスクの評価と対応
統制環境に続く次の構成要素は「リスクの評価と対応」です。
リスクの評価と対応のプロセスを具体的なリスクを想定して考えてみましょう。
| リスクの識別 | 事業の目的達成に影響を与えうる事象を把握し、どこにどのようなリスクがあるのかを特定します。リスクは、全社的なレベルから業務プロセスのレベルまで様々な段階で存在するので、各段階で識別することが必要です。 |
 |
各事業所や各事業部門単位で、そこで問題となるリスクを洗い出してみます。また、経営者も経営者の視点から、想定しうるリスクを洗い出す必要があります。例えば、顧客情報の漏洩、従業員による横領、売掛金の回収不能、材料費の高騰等。想定しうるリスクを一度全て挙げてみましょう。 |
| リスクの分類 | リスクに対応するため、様々な観点からリスクを分類します。例えば、全社的なレベルか、業務プロセスのレベルか。過去に生じたリスクか、未経験のリスクか、等。 |
|
例えば、顧客情報の漏洩や従業員による横領等は全社的なレベルで問題になりうるものです。これらについては、前回お話した「統制環境」のレベルをあげていくことが必要になります。売掛金の回収や材料費の高騰については、業務プロセスの問題ですから、各部門においてリスクを予期し事前に対策をとる必要があるでしょう。過去に現実化したことのあるリスクであれば、そのときどのように対応したか、さらに効率的に対応するには事前にどのような対策を取るべきかを検討していくことになります。このように分類によって対応が変わってきますので、まずは列挙したリスクを様々な視点で分類してみましょう。 |
| リスクの分析・評価 | そのリスクが生じる可能性や生じたときの影響の大きさを分析し、リスクの重要性を見積もります。あらゆるリスクに対応策を講じることはコストの面から難しいでしょうから、重要性があるものから優先して対応策を検討します。 |
|
ここでは、「従業員による横領」を例に挙げて考えてみましょう。 社員が金銭を使い込めば、それにより資金繰りが苦しくなります。それだけではなく、金額によっては刑事事件に発展し、社外に与えうる影響も甚大です。マスコミに報道される可能性がありますし、巨額の使い込みを見抜けなかった体制は当然批判され、企業全体の信用の失墜につながります。融資を躊躇されたり、取引を見合わせられたり、影響は非常に大きく、優先して取り組むべきリスクマネージメントといえるでしょう。 |
| リスクへの対応 | リスクへの対応には、「回避」「低減」「移転」「受容」があります。リスクの重要性に応じて、リスクの原因となる活動を見合わせたり(回避)、リスクの発生可能性を低くするために新たな内部統制を設けたり(低減)、保険加入等によりリスクを組織の外部に転嫁した(移転)、活動の効果が大きいためリスクを受け入れたり(受容)といった対応をとります。 |
| このリスクに対して取るべき対応は、「低減」でしょう。社員による金銭の使い込みの機会をできるだけ小さくし、万が一起こってしまった場合でもできるだけ速やかな発覚を目指し、再発を防止する。そのために、支払決定、実際の支払い等それぞれの業務の担当者を別々にし、各担当者が自己の業務を遂行すれば、直ちに報告し承認を得る、報告がないものについては直ちに進捗を確認する等の手続きを確立しておくことが必要です。 |
(3)統制活動
統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続きをいいます。これには、全社的に統一化された方針と、各事業所や各部門における活動方針があります。それぞれの方針は、各業務についての権限と職責を明らかにして、文書でまとめておくことが必要です。
活動指針を作り、一人一人の社員がそれにしたがって行動することで、経営者の意志が社員に届く仕組みを作っていくことができます。
(4)情報と伝達
情報と伝達とは、必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することをいいます。日本の企業は特にこの部分が弱いと言われています。不祥事を起こした企業の代表取締役が、記者会見で「知りませんでした。」と頭を下げるシーンは、珍しくありません。
情報の伝達には、内部的なものと外部的なものがありますが、内部的なものは、いわゆる「報・連・相」です(「報告」「連絡」「相談」)。いつ、どのような情報を、誰に、どのような形で伝えるか。企業は人の集まりですから、これらを整備しておくことは、必要不可欠なインフラと言えるでしょう。外部的なものには、企業から外部へ情報を発信する有価証券報告書や、外部から企業へ情報が入ってくるもの(例えば、相談センターとか窓口を通して入ってくる要望や苦情等)があります。
(5)モニタリング(監視活動)
モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいいます。
これには、通常の業務に組み込まれて行われる「日常的モニタリング」と、日常的モニタリングで抜け落ちてしまうような問題点を、独立した観点から把握する「独立性評価」があります。日常的モニタリングに関しては、例えば、重要な売掛金について、適切な管理者等が、担当者の行った残高確認の実施過程と発見された差異の分析・修正作業を監視することなどが挙げられます。また、社員が毎日業務日報をつけることも日常的モニタリングの一つと言えるでしょう。
しかし、仲間内で行うモニタリングではどうしても抜け落ちが出てしまうもの。そこで、独立した部門が改めてモニタリングを行うのです。典型的なものは、監査役や監査委員会、内部監査部門等によるモニタリングを指します。
モニタリングで指摘された事項は、いつまでにどのようなスケジュールでどのように対応していくかを検討し、実践していく必要があります。
(6)IT(情報技術)への対応
ITへの対応とは、組織目標を達成するために予め適切な方針及び手続きを定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することを言います。
最近はITの急激な進化により、企業における情報処理もITに依存する部分が大きくなっています。ITの利用は、内部統制制度の有効性及び効率性を高める上でも役立つものですが、一方で、ITを高度に取り入れた情報システムは、稼働後の大幅な手続きの修正が困難であるという問題点もあります。
そこで、企業は、まずIT環境を把握した上で、内部統制にITを利用し、同時にITを取り入れた情報システムを統制していくことになります。具体的には、全社的なレベルでは、システムの開発、保守に係る管理、システムの運用・管理、内外からのアクセス管理などシステムの安全性の確保、外部委託に関する契約の管理等、業務プロセスのレベルでは、入力情報の完全性、正確性、正当性等を確保する統制、例外処理の修正と再処理、マスターデータの維持管理、システムの利用に関する人証、捜査範囲の限定などのアクセスの管理等がITシステム統制の中身になります。
さて、今まで内部統制の4つの目的と6つの要素について見てきましたが、内部統制の基本的な考え方は掴んで頂けましたでしょうか。次回、これを前提に、具体的にどうやって内部統制制度を構築していくかを考えてみたいと思います。
top