内部統制はリスクアプローチを求めているビジネスに差がつく防犯技術(4)(1/2 ページ)

内部統制システムの良しあしを決めるのはリスクの特定だ。そして、リスク特定の方法論であるリスクアプローチを決めることが、内部統制システムでは重要なファクターとなる。

» 2008年01月07日 12時00分 公開
[杉浦司,杉浦システムコンサルティング,Inc]

内部統制システムはリスクアプローチが決め手

 会社の中で不正や不祥事が起きないようにするためには、内部統制システムの構築が不可欠だ。会社法や日本版SOX法へ対応するために、いままさに内部統制システムを構築中だという企業は多いだろう。

 注意すべきことは、内部統制システムの構築の目的は決して、日本版SOX法対応で定番になった3点セット(業務フロー、業務記述書、RCM)を作成することでもなければ、規定類の整備でもない。それは単なる道具であり、一作業にすぎない。

 内部統制システムの良しあしを決めるのはリスクの特定であり、そのための方法論がリスクアプローチなのである。

従業員が見もしない社内規定が会社をだめにしている

 内部統制システムの構築を考えるうえで、全く何もしていないという会社はまずないはずだ。

 目の前で不正を働こうとする社員がいたら誰かが止めるだろうし、普通に考えれば「特別な事情でもない限り、安定した給与を受け取れる社員の身分を失いかねないような愚かな行為」を社員がするとは考えにくい。

 問題は、一般常識だけで不正や不祥事が防げるかというと、そうは簡単ではないということにある。

 「これくらいはいいだろう」と、安易に受け取った接待やリベートの要求が公正取引上の問題になったり、Webアクセス経路分析のために収集したクッキー情報が個人情報の不正取得に当たったりと、専門的な法律知識や特別な社会的倫理を知らなければ、誰もが知らない間に道を誤る危険性があるのだ。

 そのために、会社では就業規則をはじめとしたさまざまな規定や規則を定め、社員に守るように命じている。しかし、現実はどうだろうか。就業規則ですら見たこともない社員がいるのに、職務権限規定や与信管理規定、稟議規定あたりになると、かなり怪しい状況になってくる。情報システム管理規定ともなると、存在すら知らないという状況も珍しくないだろう。

社内規定は法律であるという認識が欠落している

 規定を守らない社員がいる大きな原因として考えられるのが、そもそも社内規定の意義について理解できていないということだ。

 内部監査の場面でよく経験するのが、「なぜそのような作業を行うのですか?」と質問すると、何とかして理由を考えようとする人がいるが、一番望ましい答え方は「社内の○○規定で定められている任務だからです」である。仕事の内容が社内規定で定められている限り、社員はそれに従う義務がある。

 規定は会社が定めた法律だから当然である。ところが、この当然のことが規定を発行する側も規制される側も、あまり強く意識していないのだ。

できていないのに、できているように見えてしまう社内規定のわな

 本来、法律的な重みを持つ社内規定が、規制される側が守ることができるかどうかについて考慮せずに発行されてしまうと、社内に違法状態と違反者が大量に発生することになる。

 規定は作成して発行すれば終わりではなく、規定の内容について教育し、定期的に順守されているかについて監査しなければならない。理不尽な規定であっても、発行されれば必ず守らなければならないと分かっていれば、誰もが黙っていないだろう。

 規定を作成することが会社にとって意味があるのは、実はこの発行前に行われる社内調整によって規定の意義を浸透させると同時に、規定を実現可能なものへと昇華させることである。

“知らなかった”では済まされない

 食品表示の偽装など、昨今の企業不祥事を見ていると、当事者である経営陣は「知らなかった」ことを言い訳にすることが多い。

 中には、「賞味期限」と「消費期限」の違いが分からなかったなどと、とんでもない言い訳をいう食品会社すら出てくる始末だ。

 「企業が事業を行ううえで順守すべき法律を知らない」ということも、りっぱな不正である。「企業の違法行為を通報する労働者」などを保護するための、公益通報者保護法が対象とする法令はどれくらいあるかご存じだろうか。

 現時点で400強の法令が規定されている。すべての法令が問題になることはないとしても、かなりの数の法令が関係していてもおかしなことではない。コンプライアンスだけでも、簡単に対応できるようなものではないのである。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ