前編に引き続き、筆者が開発した「SOX法対応型バランス・スコアカード(第4世代BSC)」を紹介する。
前編では、第4世代BSCの概要を説明した。第4世代BSCは、洗い出したリスクをKRI(キー・リスク・インジケーター)という結果指標として設定し、そのリスクに対するコントロールというアクションを、先行指標としてKCI(キー・コントロール・インジケーター)として、指標間にも因果関係を持って設定する。
これにより、戦略マップ上の「内部統制の戦略目標」をドリルダウンしていけば簡単に把握でき、より大きいリスクとコントロールについて重点的な内部監査が可能となる。
前編では、「年3回の内部監査で最初の2回を合格しても、最後の1回で不合格になることが十分あり得る」と紹介した。これはリスクが変動するからだ。
第4世代BSCでは、リスクの推移結果だけを見て判断するのではなく、KRIの推移からリスク推移を予測して、未来志向型の内部監査を行うことができる。
つまり、KRIでリスクが危険領域に向かっている傾向を事前につかんでいれば、内部監査や内部監査以前に必要な統制・サポートを行い、問題視されるようになる危険リスク予備群に対して、先手を打って統制することが可能になるというものだ。
当然、先述のケースで最後の内部監査を終えた後もリスクは変動し得るので、期末の日本版SOX法にかかわる監査において、「不備または重大な欠陥がある」と判断される可能性もある。
そんな場合でも、第4世代BSCの「内部監査に対する指標管理による内部監査代替機能」によって、問題視され得るリスク兆候や結果をつかんだらすぐに対応できるので、日本版SOX法にかかわる監査前にリスク低減の手を打てる可能性が高まり、その分だけリスクに即応できる企業として企業価値が高まるといえる。
KRIとKCIによるリスク動向の可視化の概念を図1に示しておく。ただし、内部統制における限界として、金融庁が指摘しているような問題については、第4世代BSCを用いても解決が容易になるとはいい切れない。
ただし、どこまでリスクを統制するかについては、各社の裁量により決定することになる。
逆にいえば、より広範かつ妥当なリスク管理をKRIおよびKCIによって行っていることを示せる企業は、社会的な信用を得るだけでなく、新会社法に求められる経営者の善管注意義務において、経営者にとっても非常に望ましい状況を整備することができる。
上記の各業務活動以外の業務活動については、各社でコンプライアンス室や監査室のメンバーと各部署との折衝によって、自社で管理するリスクとその程度を決定してKRIおよびKCIを設定するとよい。
例として、仮に日本版SOX法対象外の部署の固定資産管理活動について、「内部統制の統合的枠組み ツール篇」(著:トレッドウェイ委員会組織委員会/白桃書房/1996年5月)のpp.172 - 173にある統制目的・統制上のリスク・要点を抜粋し、加筆修正して図2に示しておく。
図2 日本版SOX法対策対象外の部署での活動に対するKRI・KCI設定例 |
|||
統制目的 |
統制上のリスク |
行動/統制活動上の要点 |
|
固定資産を盗難による損失から保全すること | 固定資産の保全管理が不十分な場合がある | ・非稼働時の施設への立ち入りは制限されているか ・事務所の器具、備品、設備、その他の携帯用固定資産に対しては、管理用プレートと管理番号が付けられているか ・固定資産の保全管理に関する方針が定められ、実行されているか。また、それは伝えられているか |
|
KRI例: 1. 非稼働時の立ち入り入退室エラー検知数 2. サンプリングによる管理用プレート・管理番号貼付装着率 3. サンプリングによる固定資産保全管理方針と実際の行動との違反率 |
KCI例: 1. 入退室管理方針の研修理解度 2. 新規購入備品への管理用プレート・管理番号装着率 3. 固定資産保全管理方針の通達メール既読率 |
アクションプラン: 各部署・各メンバーの状況に応じたアクションプランを月次で策定し実行する |
Copyright © ITmedia, Inc. All Rights Reserved.