「内部統制報告制度に関する11の誤解」を誤解せぬよう読んでみた：ITIL Managerの視点から（3/4 ページ）

[谷誠之，ITmedia]

3.すべての業務に内部統制が必要か

---

[誤解]　どんなに小さな業務（プロセス）でも内部統制を整備・評価しなければならない。

[実際]　全社的な内部統制が最重要であり、全社的な内部統制の評価結果を踏まえて、重要な虚偽記載につながるリスクを勘案し、業務（プロセス）を評価する範囲の絞り込みが可能。

（具体例）

・評価対象となる業務の絞り込み

売上等の3分の2に達するまでの事業拠点における3つの勘定科目（売上、売掛金、棚卸資産）に係る業務に絞り込み。

・重要性の僅少な業務の除外

さらに、評価対象となった業務のうちに重要性の僅少（ケース・バイ・ケースではあるが、例えば5％）なものがあれば除外可。

※内部統制報告制度に関する11の誤解（リンク先はpdfファイル）より

---

　ここでの一番の問題は、業務をどう絞り込むか、ということだろう。「木を見ず森を見る」というのは、実際には大変難しい。ITIL的にはまず、業務上欠かすことのできない最も重要な機能VBF（Vital Business Function：重要ビジネス機能）は何であるかということを評価し、それに関係するITサービスから優先して整備していくことになるのだが……。

　全社的な内部統制を行うことを目的として「業務」を捕らえた場合、その重要度は当然売上だけでは判別できない。例えばある会社は売上の8割を店舗による小売業務が占め、残る2割をWebショッピングが占めているとする。顧客の個人情報（住所や名前、銀行口座とかクレジットカードの番号とか）をより積極的に収集するのは、売上げの2割にしかならないWebショッピング業務であろう。売上の2割にしかならないので、このWebショッピングサイトの内部統制をおろそかにしていい、とは言えない。

　最も現実的なのは、すべての業務に対して内部統制違反となりうるリスクを調査し、そのリスクの業務や社会に対する影響度を評価して優先付けすることだろう。しかし、今度はその優先度付けに対する説明責任が残る。優先度付けそのものがリスクとなる可能性だってあるのだ。「なぜその業務は評価対象としなかったのか」あるいは「なぜ、その業務は重要とみなさなかったのか」ということについて、関係各位すべてに納得のいく説明をしなければならなくなるだろう。そんな説明をするよりは、すべての業務を内部統制の対象にしてしまったほうが楽だ（あるいは次善の策としてそうする）と、経営者も監査人も考えるのではないか。