内部統制を実行するために最初に行うこと:総務部門のためのIT解説 「内部統制」編(2)(2/2 ページ)
リスクにどう対応するか
リスクは、現在、行われている業務プロセスに潜んでいる。といわれても、リスクがどんなものか、イメージしにくいだろう。そこで、どんなことがリスクになるか。以下、例示的にリスクの中身と仕組みを見ていくことにしよう。
例えば、営業担当者が商品を受注したとしよう。その際、営業担当者が納品伝票を書いて売上伝票も書くという仕事は、よく見られる業務プロセスの一部分ではないだろうか。だが、それで、果たしていいのだろうか? そこにリスクはないのだろうか? 実は大きなリスクがある。
この業務プロセスだと、仮に受注が架空なものなら、商品は外部に流出してしまい、売上げは回収できないという事態が発生する可能性がある。調達部門の社員が発注と検収を兼ねているケースも、同様にリスクがある。ものが納められていないのに、OKを出せる仕組みがあると、架空取引の温床となる。
それを防ぐ手だて(仕組み)は、「受注」業務と「納品」業務を兼務させないことと第三者(通常は役職者)がチェックする仕組みを設けることだ。その例として、大塚商会の営業活動に関連する業務プロセスを紹介しよう。
大塚商会の場合
同社の営業に関連する業務プロセスは上流の与信段階から出荷段階に至るまで社員による恣意的な行為が働かない仕組みが設けられている。
営業活動の最上流は、顧客とコンタクトして商品を紹介・提案するというプロセスである。顧客が商品に興味をもったなら、次に見積もりを出すフェーズに移る。そのときに、最初のチェックがある。与信管理だ。商談が進捗して、営業担当者が「あの会社に見積もりを出そう」と思ったとしても、与信管理プロセスを通過しなければ見積もりは出せない。逆に言えば、見積もりを提出する顧客は信用できる顧客である。ここで、「納品はしたが支払いが得られなかった」というリスク対策が講じられている。
見積もりが顧客の賛同を得たら、次は注文処理をする段階だ。同社の場合、口頭による注文は認められていない。顧客の注文印が捺印された発注書があって、受注処理が行われる。そして、発注書を検閲する業務処理担当マネージャが存在し、その発注書を確認する。そのプロセスを経て、実際に商品が出荷されるという流れである。
つまり、注文が処理されるのは、与信を通った正規の顧客(実体があって支払い能力がある顧客)から正式な発注書を得た場合だけである。そこには、与信から出荷に至る業務の流れが手続きとして構築されている。同時に、与信管理システムもある。さらに、発注書をチェックする第三者も用意されている。
同社がこのように周到な営業関連の業務プロセスを構築した背景にあるのは経営者の「不正をしてはいけない」という意思である。内部統制を推進するエンジンとなるのは第1回で取り上げた組織の気風であることを同社の業務プロセスは示している。
やはり重要なのは経営者の思い
では、上述したような業務プロセスを、ひいては内部統制を「有効な」ものとするために何をすべきだろうか。前提となるのは、上述したようなリスク対策を施した業務プロセスを設計・構築することだ。次に、業務プロセスを構築したら、社内に標準ルールとして徹底させなければならない。しかも、その徹底は、持続的でなければならない。その仕掛けとなるのは、社員が手に取る業務マニュアルを作成しておくことである。業務マニュアルを作成するのは当たり前に過ぎるのだが、実際には業務マニュアルが存在しない上場企業も存在するし、業務マニュアルがあっても、長い間、改訂されていないことも見受けられる。それでは、内部統制が働かない。
では、存在しなかった業務マニュアルを作成し、かつ改訂を続けていくためにはどうしたらいいのだろうか。そこで、重要な役割を果たすのはやはり経営者の声であり組織の気風である。
経営者が業務マニュアルをおろそかにすれば、業務マニュアルは改訂されることはないだろう。それどころか、業務マニュアルを逸脱した行為が横行しかねない。「業務マニュアルに書いてある手続きを踏むより、速く受注が処理できるから」という「善意」のケースもあるだろう。だが、それを許すと悪意をも招いてしまう。やはり、マニュアルだけでなく、経営者には、「不正は許さない」という価値観を組織に行き渡らせる不断の努力が欠かせないだろう。
第3回は、内部統制に対応する作業として企業が多くの労力をさいている「文書化」の意義と進め方について取り上げる。
「架空発注をして品物を横領するなんて事件はちょくちょく報道されているな」
「当社は不正をしない気風が行き渡っていますが、不正を許してしまう業務プロセスがあると、そのことを内部統制報告書に記載しないといけないんですよね」
「うん。まずは、財務に関連するリスクを洗い出そう。そして、不正ができないような業務ルールと業務プロセスを構築しないといけないな」
著者紹介
小林 秀雄(こばやし ひでお)
東京生まれ。早稲田大学第一文学部卒業。雑誌「月刊コンピュートピア」編集長を経て、現在フリー。企業と情報技術のかかわりを主要テーマに取材・執筆。著書に、「今日からできるナレッジマネジメント」「図解よくわかるエクストラネット」(ともに日刊工業新聞社)、「日本版eマーケットプレイス活用法」「IT経営の時代とSEイノベーション」(コンピュータ・エージ社)、「図解でわかるEIP入門」(共著、日本能率協会マネジメントセンター)、「早わかり 50のキーワードで学ぶ情報システム『提案営業』の実際」(日経BP社刊)など
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 富士通とNECの最新受注状況から探る 「2024年度国内IT需要の行方」
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- Chromeバージョン124がハイブリッド量子暗号化機能をデフォルトで有効化 ただし不具合報告も
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 英国政府が新法を施行 スマートデバイスで脆弱なデフォルトパスワードを禁止
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 数字6文字は“一瞬”で解読される Hive Systemsがパスワード強度を調査
ITmediaはアイティメディア株式会社の登録商標です。