A.内部統制の見直しについては、ITシステムの更新時に旧システムで行っていることをそのまま新システムでも行おうとしても、システム変更が期待したほどの業務改善につながりません。また、戦略的業務改善活動(以下「BPR」といいます。組織間の垣根をなくして全社的に最適な業務処理を構築していこうという活動のことです)は、業務効率アップ等につながる魅力的な活動であるものの、効果が測定しにくいことや費用が不明であること等から導入に踏み切れなかったりした会社が多かったことと思われます。
しかし、金融商品取引法と新会社法において、内部統制の全般的な見直しをしなければならなくなりました。法が規定することであるため、必ず行わなければならないことから、この機会に業務活動の改善もしたい、内部統制の四つの目的のうち業務の有効性、効率性も高めたいと考える場合も少なくないのではないでしょうか。ただし、この場合は費用の壁が立ちふさがる可能性があります。やるべきことはBPRと類似していますので、費用はもちろんかかってきます。財務報告の信頼性のみを文書化する場合には例えば3,000万円かかるとすると、2〜3倍かかってしまうかもしれません。
そこで、対応策の一つを述べます。あくまでも、「財務報告の信頼性」の確保を目標とします。ただ、文書化作業の過程で他の目的に関係するリスクを発見できることがありますが、会社がそのようなリスクにつきコントロールがなされていないと不備を認識したなら、その情報を通常の財務報告プロジェクトとは違ったルートで吸い上げ、リスク管理部門に報告を行います。リスク管理部門においては、その報告されたリスクに対して優先順位を付け、アクションプランの検討を行います。このような二本立ての対応なら、十分に実現できるのではないかと考えます。
例えば、請求書の発行を漏らすというのは、財務報告に関係するリスクとはいえません。厳密にいえば資産保全に関係しますので、文書化の対象にはなると思われます。しかし、仮に財務報告の信頼性に関係するリスクに限って述べると、請求書を発行してもしなくても、これは会計取引には該当しませんので仕訳を切らないことから、財務報告の数字に影響が及びません。ただし、請求書を発行しなければお金が入ってきませんので、資金繰りに困ります。これは、ビジネスとしては多大な損失となるでしょう。このようなリスクを、財務報告に関係するリスクではないことを理由に放置しておくか、リスクと考えてアクションプランを検討して企業として対応していくかでは、大きな差が生じるのではないでしょうか。
上記のような対応が実際に極めて有効であると思われますが、作業者の内部統制についての知識や経験が不可欠であるということが、問題となります。リスクをリスクとして作業者がとらえることができるか、スルーしてしまうかによって、この活動の有効性に大きな差異が生じてしまうでしょう。