どうやって業務の見直しを進めたらいいんだろう？：総務部門のためのIT解説 「内部統制」編（1/2 ページ）

「どうだい？ 内部統制への対応は着々と進んでいるかね？」「それがいまひとつ……。ボチボチといった状態です。正直、どうやって業務の見直しを進めたらいいのか悩んでいるんです」

[小林秀雄，＠IT]

「どうだい？ 内部統制への対応は着々と進んでいるかね？」

「あっ、社長（汗）。いま、業務プロセスの見直しを進めているところです」

「その作業は順調なのか？」

「それがいまひとつ……。ボチボチといった状態です。正直、どうやって業務の見直しを進めたらいいのか悩んでいるんです」

「仕方ない。また、キミの義兄の経営コンサルタントに相談に乗ってもらうか」

「それです。そうしましょう」

「コンサルティング料金の出費は痛いが、背に腹は代えられない」

「僕の仕事もサクサク進みそうですね」

「総務の若きエース、期待しているよ」

内部統制に関する「文書化」

　第2回「内部統制を実行するために最初に行うこと」は、内部統制の根幹をなす業務プロセスにおけるリスク管理とその対応策について取り上げたが、今回は内部統制に関する「文書化」とは何か、そして、どのように文書を作成していったらいいのかについて取り上げる。

　内部統制への対応に最も早く取り組んだ日本企業はニューヨーク証券取引所など、米市場に上場している企業だ。その企業が多大な労力を費やしたのが「文書化」である。より、具体的には業務プロセスを文書に書き込むことである。そして、2008年度から実行される金融商品取引法に対応するために、日本企業が第一に超えるべきハードルがやはり、業務プロセスの文書化である。

　2007年前半の段階で、内部統制対応が最も進んでいる企業は、業務プロセスを点検し、業務プロセスに関する文書を作成するフェイズに入っている。まず、業務プロセスを文書とすることの意味というか目的を考えてみたい。

なぜ、文書化が必要なのか？

　なぜ、業務プロセスを文書にする必要があるのか。初めに、その点を押さえておこう。

　業務プロセスの文書化には、2つの目的がある。第1の目的は外部監査を受けるためだ。上場企業の経営者は、財務報告書とともに、内部統制報告書を公表することが金融商品取引法で義務付けられている。内部統制報告書とは、「当社の業務プロセスには不正が起きないような仕組みが設けられています」ということを書いて市場に公表することを指す。

　だが、市場に公表する前に外部の監査法人などによって、内部統制に関する監査を受けなければならない。監査法人はその監査において、経営者が実行している内部統制が本当に有効に機能しているかどうかをチェックする。そのチェックに用いられるのが、「業務の流れ図」「業務記述書」「リスクコントロールマトリックス（RCM）」のいわゆる3点セットである。

　監査法人の仕事は文書を読むことだといっていい。文書に書かれた内容で物事を評価する。内部統制を監査する場合も同じ。監査法人が内部統制を評価するためのよりどころとするのがこれらの文書である。

　さて、業務プロセスを文書化する2つ目の目的は、企業自身がリスクを可視化することにある。業務の流れ図を作成し、業務ごとにその内容を記述することによって、そして、業務とリスクの関係をマトリックスにしてリスクを可視化することによって、業務に潜んでいるリスクを発見し、リスクを解消する（つまりは、内部統制をする）ことが可能となる。つまり、内部統制における文書作成は、リスクを発見し、解消するという内部統制の保守を実行するためのプロセスにほかならないといえる。

　3点セットと呼ばれる文書は、監査を受けるために欠かせないものであると同時に、自分たちがリスクを発見するための道具ともなるわけだ。

3点セットの中身とは何だろう？

　では、「業務の流れ図」「業務記述書」「リスクコントロールマトリックス（RCM）」とは何だろう？　もう少し詳しく、その中身に迫ってみよう。

　まず、業務の流れ図とは何か。それを理解するには、実施基準に記載されている例を見るのがいい。（PDF：金融庁内部統制実施基準[意見書]）実施基準では、「業務の流れ図（例）」として、「事業Aに係る卸販売プロセス」の流れ図を示している（ページ92〜94参照）。

　卸販売の業務プロセスのうち、顧客との業務は縦軸に設定され、その業務プロセスを実行するために社内の各部門間で行われる業務は横軸に設定されている。例図の、顧客からの注文が入る左上（受注の部分）が業務の起点であり、左下（請求の部分）が終点である。起点から終点に至るまでにどのようなことが行われているかをデッサンして示すのが業務の流れ図だ。これを見れば、監査法人が「業務を俯瞰（ふかん）できる」ようにするのが流れ図の目的だということが分かるだろう。

　だが、流れ図だけでは、「俯瞰」はできても、個別の業務でどのようなことが行われているかまで踏み込んで、監査法人が把握することはできない。その把握の助けとなるのが、業務記述書だ。実際、実施基準の「業務の流れ図（例）」には、「（注）より詳細な記述を要する場合には、表中に注記を行ったり業務記述書を別途、作成することも考えられる」と書かれている。監査法人が、業務プロセスを「鳥の目」で俯瞰（ふかん）できるようにするのが流れ図であり、「虫の目」で個々の業務が何をするのかを理解できるようにする「注」のようなものが業務記述書だ。

　では、リスクコントロールマトリックスとは何だろうか。それも、実施基準の例「リスクと統制の対応（例）」を見ると理解が早いだろう。この例では、業務ごとにリスクの内容と、そのリスクに対してどのような統制を行っているかを表としてまとめている。例えば、「与信限度額を超越した受注を受ける」ことにはリスクがある。発注者からの支払いが行われない可能性があるからだ。そうした事態を防ぐべく、この例では「受注入力は、得意先の登録条件に適合した注文のみ入力できる」仕組みを統制の内容としている。

　ここに例示された統制の内容は、不正を起こさない業務プロセスにほかならない。もしも、こうした仕組みが業務プロセスとして確立されていれば、リスクコントロールマトリックスを作成することは難しいことではない。だが、一部上場企業でも、業務プロセスを可視化する業務の流れ図や業務記述書が整備されていない企業が多い。業務プロセスを可視化しなければ、リスクも可視化できない。

　業務プロセスを文書にするということは、単に現状の業務プロセスを書面にすることではない。自社の業務に潜むリスクを可視化すること。そして、そのリスクをつぶすこと。つまりは、内部統制が働く業務プロセスを構築すること。それが、内部統制における文書化の目的であり、ゴールだ。監査法人はその文書を見て、「内部統制が十分かそれとも不十分か」を評価するということになる。