|
2008年4月以降に適用が迫った金融商品取引法(いわゆる日本版SOX法)に向け、適用対象となる上場企業では今回の法律の要点である内部統制に向けての体制作りが急ピッチで行われています。今回の特集では内部統制の仕組みと、現状では適用対象外とされている中堅・中小企業にとって必要となる対策やその対処法についてご紹介いたします。
内部統制とは
内部統制という言葉自体は、古くから存在します。米国公認会計士協会の1949年特別報告では、内部統制を「企業の資産を保全し、会計資料の正確性と信頼性を検討し、さらに経営能率を増進し、定められた経営方針の遵守を促進するために、企業内部で採用された組織計画およびすべての調整方法と手段を含む」と規定しています。
日本では企業の金融不祥事を防止するため、2006年5月1日施行の新会社法に大会社(資本金5億円以上または負債総額200億円以上)への内部統制体制構築が義務化され、さらに2008年4月1日開始事業年度から適用される金融商品取引法(以下、「日本版SOX法」)によって、注目が高まっています。特に日本版SOX法では、新興市場を含むすべての上場会社とその連結子会社を対象に、外部監査による評価が義務付けられているため、その関心は一気に高まりました。
日本版SOX法で求められている内部統制には多くの要求事項がありますが(図1参照)、基本的には「不正やミスが起きない体制づくりとその外部証明」を、マンパワーだけに頼るのではなく、必要に応じてITを駆使して行う、というものです。
なお、内部統制に不備があった場合の罰則規定はありません(実際には行われていない項目を「やっている」と表記した場合は罰則の対象)。しかし提出された内部統制監査報告書の記載の中に、不正やミスが起こりうる体制上の不備が発覚した場合は監督官庁(金融庁)より指摘を受け、指摘内容も公開されてしまいます。これは企業信用力や株価に直接影響を与えるため、法の適用対象となる企業では内部統制の確立に力を注いでいるのが現状です。
中堅・中小企業にこそ必要な内部統制
日本版SOX法による内部統制は、上場企業約3,600社とその連結子会社約70,000社が適用対象となりますが、適用対象以外の大多数の企業にとっても傍観してはいられないものとなっています。
昨今の相次ぐ金融不祥事によって投資家や消費者の企業を見る眼は厳しくなっていると同時に、上場企業においても取引企業に対して監査に必要な情報提供を求めたり、内部統制の実施が入札時の条件になる可能性も指摘されています。そういった背景をふまえ、非上場企業においても内部統制への対応などによる危機管理能力が強く望まれているのです。そして内部統制自体が、企業が継続的に向上して行くための仕組みづくりであることを考えると、自社の業務を見直す絶好の機会であると言えます。リスクマネジメントを行い、企業力を向上させることは、企業にとっての優位性を高めることにも繋がって行きます。
とは言っても内部統制の確立は一朝一夕にできるものではありません。適用対象ではない企業の場合、日本版SOX法に規定されている内部統制のすべてを行う必要はありませんが、
●どの範囲で行えばよいのか、また仕組みづくりの人材は社内にいるか
●業務をどこまで把握して(業務が可視化されて)いるか
●ITインフラはどこまで整備されているか
など、内部統制構築にあたり、必要なハードルはいくつも存在します。
また、現実問題としてコンサルティング会社や支援ツールなどはいずれも大手上場企業を対象にする傾向があり、中堅・中小企業の費用対効果に見合うソリューションが存在しないことも、多くの企業が着手できない要因となっています。
このように内部統制づくりにあたって課題をお持ちの中堅・中小企業様に向けてご提案するのが、「奉行内部統制支援
Solution Framework」(以下、「奉行フレームワーク」)です。(下図参照)
この奉行フレームワークでは、内部統制実施までのプロセスを2軸、5つのステップに分けています。
内部統制構築ソリューションは、内部統制プロジェクトそのものを支援するもので、内部統制の実現には不可欠なプロセスです。具体的には「文書化」「文書管理」「評価・改善」の3つとなります。
一方、内部統制基盤ソリューションにあたる「業務基盤統制」と「IT基盤統制」は、洗い出されたリスクの低減を支援するためのITツールであり、主に基幹系システムのインフラ強化によって内部統制を支援いたします。
内部統制への取り組みの進捗状況や導入しているITツールは企業ごとに異なりますが、この奉行フレームワークではステップに応じて選択できますので、段階ごとに必要なツールを経済的に導入することが可能です。
内部統制実現までの5つのステップ
内部統制へのファーストステップを支援 奉行 DOCUMENT Pack
先ほども述べましたが、内部統制構築の最初にして最大のハードルが「文書化」です。奉行フレームワークでは効率的な文書化支援ツールとして「奉行 DOCUMENT Pack」をご提案しています。
文書化には一般的に「業務フロー図」「業務記述書」「リスクコントロールマトリクス」がありますが、日本版SOX法の適用対象となる企業では、2008年4月までに完成していなければならないプロセスでもありますので、ここで少し詳しく見てみましょう。
●業務フロー図
文書化は「業務フロー図」を作成することから始まります。業務をフローチャート化することで、暗黙知で行われていた業務が明確になり、無駄・無理・ムラもわかってきます。しかしすべての業務をフロー化すると膨大な量になり、使用するアプリケーションや書式の統一も作業上の大きな負荷になるため、まずは「どこまでフロー化するのか」の選定を行うことが重要となってきます。
●業務記述書
業務記述書は「業務フロー図」の内容を文章化し、業務の正しいあり方を記録として残すマニュアルです。日本の企業では業務の大まかなマニュアルがあっても細かい部分は仕事のしやすい方向に変わってしまいます。そこで、業務を細かく規定することで、現場適正化と呼ばれるこういった現象を防ぐ効果があります。
●リスクコントロールマトリクス(RCM)
「業務フロー図」「業務記述書」と対比して、それぞれの業務にどのようなリスクがあるかをリストアップし、そのリスクをいかに軽減しているかを明示するのがリスクコントロールマトリクスです。この作成が文書化の最も重要なものとなります。
奉行 DOCUMENT Packの特徴
「奉行 DOCUMENT Pack」の最大の特徴は、文書支援とサンプルドキュメントをセットにしたものであるということです。豊富なサンプル(33プロセス、約700コントロール)を活用することで、自社の業務をサンプルと照合しながら文書化することができます。
3文書を別々に作成すると修正・更新時の管理が大変ですが、「奉行 DOCUMENT Pack」では1つの文書を作成・更新すると、更新情報が残りの2つの文書にも自動的に反映されますので、文書の一元管理によって継続的な運営が容易です。
さらに内部統制コンサルタントの指導を受け、約300の一般的な業務リスクをピックアップしています。各リスクにはその対応方針も完備していますので、判断が難しかった「何をもってリスクとするか」がはっきりとわかるようになります。
また、奉行シリーズの統制を記載していますので、奉行シリーズをお使いいただいているお客様の文書化作業を大幅に軽減することはもちろん、奉行シリーズ以外の基幹システムをご使用の場合でも、名称を置き換えることでかなりの業務効率化が図れるよう設計されています。
※導入企業様の事例を「私の視点」でご紹介していますので、あわせてご覧ください。
内部統制でベストプラクティスを目指す
内部統制構築には多くのステップとそれなりのコストと時間が必要になることはおわかりいただけたと思います。しかしご説明してきたとおり、内部統制は「まず法規制ありき」のものではありません。
企業のコンプライアンスを社内外に示し、業務内容を明確にし、非効率業務やミス・不正のリスクを洗い出して業務改善し、自社のベストプラクティスを目指すことは、企業の成長に欠かせないことです。
企業の成長とアドバンテージを高めるためにも、ぜひ「奉行内部統制支援Solution Framework」を、内部統制の早期導入にお役立てください。
|
