“守り”の内部統制から“攻め”の内部統制へ：SOX法コンサルタントの憂い（7）（2/2 ページ）

[鈴木 英夫，＠IT]

図：日本版COSOの概念

（出典：金融庁企業会計審議会 第5回内部統制部会配布資料3「参考図表」を基に作成）

　ここで、「財務報告の信頼性にかかわるもの」以外の内部統制の目的について見てみよう。業務の有効性や効率性についてのリスクは業態により、また会社によりかなり異なっているであろうから、自社の業態とプロセスなどをよく精査したうえでないと判断できない。

　法令・諸規則の順守（コンプライアンス）にかかわるリスクは、業態により異なる。また、情報の保管・管理や損失の危険の管理については、それぞれの会社の理念や戦略などが影響するであろう。こうしてみると、内部統制の整備と評価とは、会社の経営そのものであり、あるいはその重要な部分を構成していることが分かる。

　最初の2年間は、財務報告の信頼性にかかわるものに限定するという方針もあり得る。その次の2年間で、財務報告以外の目的に拡大していくという方法である。

　内部統制はいっぺんに完成させることは難しく、かなり長期的に計画することにより、より大きな実効を目指すということがお分かりいただけるであろう。この内部統制の長期計画を平たい言葉で表すと、初めの2年間は「守りに徹し」、次の2年間で「攻めに転ずる」ということである。

攻めの内部統制は、まず企業行動憲章から

　では、「攻めの内部統制」はどこから始めればよいのだろうか？

　企業は、業種や事業展開のあり方により、そのコンプライアンスのあり方も異なることはすでに述べたとおりである。それぞれの業種に特有の、守らなければならない倫理基準、従うべき法規、そして企業が自主的に定めた行動基準、これらをまとめて記述したものが「企業行動憲章」である。

　倫理的な行動を取れるかどうかは、企業文化にかかわる。文化を醸成するためには、10年単位の時間を要する。その間どうやって、企業にこの文化を根付かせるのであろうか？ 短・中期的には、企業行動憲章が最も効果的であろう。すなわち、一方で憲章の教育と訓練により企業文化の醸成を図り、他方で「例え法律に違反していないとしても、会社の定めた企業行動憲章に違背した場合、就業規則で処分が定められている」ことで抑止効果を保つ。これらが相まって、会社とその従業員に高い倫理的行動を促すのである。

　内部統制の範疇でいえば、企業行動憲章がその企業の統制環境になっているのである。さらに、これら憲章の教育・徹底・順守の監視を担当する部署に内部統制を設定し、それらをフローチャートに図示して文書化し、その有効性の評価まで行うことにより、高い倫理行動と法令コンプライアンスの徹底を確保することができる。

　攻めの内部統制は、まず企業行動憲章に関する教育・徹底・順守を図る内部統制の文書化と評価から始めてみてはどうだろうか。

Profile

鈴木 英夫（すずき ひでお）

慶應義塾大学経済学部卒業、外資系製薬会社で広報室長・内部監査室長などを務める。

2004年から、同社のSOX法対応プロジェクトコーディネータ。現在は、フリーのSOX法・日本版SOX法コンサルタント。プランナー・オブ・リスクマネジメント、内部監査士。神戸商工会議所登録エキスパート。

著書：「図解日本版SOX法」（同友館、共著）

近著：「日本版SOX法実践コーチ」（同友館、共著）

連絡先： ai-risk330@jttk.zaq.ne.jp

Webサイト：http://spinel3.myftp.org/hideo/ai-risk.htm

「SOX法コンサルタントの憂い」バックナンバー

• 内部統制が有効でないのはこんな理由だった
• いまさら追加された「内部統制Q&A」のポイント
• 内部統制で有用なログの活用術
• 日本版SOX法の“欠陥・不備”の直し方教えます
• 追加された「内部統制Q＆A」の注意点
• “発見的コントロール”で楽になろう！
• 「内部統制報告制度に関する11の誤解」の注意点
• 3点セットの後に何をすればよいのかが分からない
• “守り”の内部統制から“攻め”の内部統制へ
• 終章・日本版SOX法プロジェクトの進め方教えます
• 続・日本版SOX法プロジェクトの進め方教えます
• 日本版SOX法プロジェクトの進め方教えます
• 立法者の意思を無視して暴走する規制当局
• 複数の共謀者による不正をどう防ぐか？
• 内部統制の抜け穴はふさげるのか？