1. プロローグ: 内部統制はなぜ必要か
そもそも、内部統制はなぜ必要なのでしょうか。内部統制そのものの意味を知る前に、まずはなぜ内部統制が重要視されているのかを理解すれば、おのずとその意味も見えてくるはずです。まずは、以下の例を読んでみてください。
A社は、食品のネット販売を主とする小売業者です。そのため、顧客の氏名、住所、電話番号、またはクレジットカード番号などの顧客の個人情報を多数保有しています。A社はその個人情報を管理するためのマニュアルなどをしっかりと策定したり、個人情報管理のための教育を社員に十分に施したりしていなかったため、日ごろから社員の顧客情報に対する対応はしっかりしたものといえるものではありませんでした。ある日、その個人情報に対する対応の甘さから、顧客情報が漏えいするという事故が起きてしまいました。A社は顧客からの苦情や問い合わせ、また、このニュースによって株価下落を心配する株主など、外部からの問い合わせに対応しようとしましたが、漏えいの事故のためのケーススタディなど、事故の想定や対策があいまいだったため、この事故への対応は不十分で不誠実なまま終わってしまいました。これによって、A社は世間から厳しい目を向けられ、社会的信用を失ったために株価は下落し、売上も下がってしまいました。
この例の中に隠れている内部統制の必要性のポイントは何だと思いますか? それは「リスク」です。企業はまず業務をするにあたって、その企業運営にかかわるトップマネージメントの理念やビジョン、経営目標などを示した「ミッションステートメント」を掲げます。企業はこのミッションステートメントを元に目標を定め業務を遂行していくわけですが、この目標を達成する過程にはリスクがあることを認識しなければなりません。
上の例でいうと、例えばA社の目標のひとつが「ネット販売を通じてたくさんのひとにA社の製品を普及させる」ことだとした場合、A社はまず売上を上げるためにさまざまな売上戦略や業務の効率化を図るでしょう。しかし、もう一つA社が忘れてはならない重要なことは、この目標達成の過程で生ずるであろう様々なリスク、ここでいうと顧客の個人情報の漏えいが起こる可能性があるということを据え、それを発生させる要因をしっかりと認識するということです。内部統制がなぜ必要かを理解するにあたって、リスク管理はキーワードとなります。
2. 内部統制とリスク管理
A社の例でいうと、A社の目標を阻むリスクの一つは「個人情報漏えいによる社会的信用失墜」です。そのリスクの要因としては、顧客のとてもセンシティブな個人情報をネットという脆弱なツールを使ってやりとりするということ、また顧客の個人情報はその価値ゆえしっかり管理、保管しないと他者から狙われる可能性があるということなどが挙げられます。このリスクに対処するために、まずは社員一人一人に個人情報に対するポリシーを周知させること、そしてリスク防衛のためどのように業務プロセスを改善するか、そして問題が万が一起こってしまった場合、どのように対応するかなどといった仕組みを社内に取り入れることが必要となります。これを実現するために必要となってくるのが内部統制なのです。
3. 内部統制の定義
内部統制とは日々の業務の中で特段の意識をすることなく、そういったリスクの要因を軽減しつつ企業の目標を達成できるような合理的な仕組みづくりそのものを意味します。またもっと広い意味でとらえると、内部統制をするということは、企業文化や地域、業種ごとの特殊性を考慮しながらトップから現場まで企業全体を眺めつつ適切な統制活動を埋め込むプロセスであり、言い換えると企業をコントロールする為の神経網を設計する作業とも言えます。
4. 内部統制の限界
内部統制は主にリスクを統制するために構築されると説明しましたが、必ずしもリスクに対して万全ではなく、次のような限界を抱えていることも認識しておく必要があります。
@全てのリスクに対して万全な訳ではない
内部統制は統制のためのコストとそれによってもたらされるベネフィットを比較して、その企業にとってより重視すべきリスクに対してより多くの資源(人や費用)があてられるので、内部統制が構築されていない業務から事故や事件が発生する可能性があります。
A内部統制は誤解や誤りを犯す人間が運営している
内部統制システムを運用するのは人間です。システムが立派でも、それを運用する人間が統制のための活動の意図を誤解し運用を誤れば機能しなくなります。
「解説編」で、内部統制についてもっと詳しく解説しています。
